--== TRIPWIRE ==--
A downloader sur tripwire.com
Le seul paquet telechargable(en gratuit) de tripwire etait un RPM configurer pour RED HAT
(a confirmer), je l'ai quand meme installé sur une SuSE 8, l'installation se déroule toute
seul, mais ensuite il faut adapter le fichier "twpol.txt" car tout les fichiers et répertoire
qui y sont préconfigurer ne sont pas present sur ma distrib.
La page MAN estICI
##### ce document ne détaille pas l'installation du programme ######
"je vous rappelle que c'est un RPM..." :-)
la première commande a lancer est:
verseau#twinstall.sh
Elle a l'air de genéré des clefs et te demande donc plusieurs "passphrase",
celle-çi te seront demandé quand tu lanceras des commandes de configuration
ou d'initialisation (commandes sensible au niveau de la sécurité).
PS: apparemment, on dirait qu'elle regénere les version cryptés des fichiers *.txt de configuration
(j'avais fait une première instal sans définire la variable "EDITOR" dans twcfg.txt)
Voici le contenu(chez moi) du repertoire de configuration ICI
OUIIIII, je sais, c'est de la frime pitoyable (vnc+expressions régulières), tout ça pour ça..eh,eh,eh
## modification des fichiers de conf de tripwire ##
Aprés avoir modifié dans un éditeur (texte clair), le fichier "twpol.txt",
la commande çi-dessous va re-créer un fichier de référence (crypté): "tw.pol"
verseau#twadmin -m P twpol.txt
A ce moment là, le fichier de "stratégie/politique" de tripwire est a jour.
tu peux lancer la commande d'initialisation de la base tripwire:
verseau#tripwire --init
Elle va se calquer sur le fichier "tw.pol" pour créer la base de données (adaptée a ta config, cette fois çi).
La commande suivante, va vérifier le système suivant la base de données (entre autres, selection des cibles
et comparer sa sortie et celle de la base de donnée (sortie initial).
verseau#tripwire --check
Cette commande (çi-dessous), te permet de visualiser (dans le fichier "twreport.txt)
un rapport, qui suit un scan de tripwire ("tripwire --check").
verseau#twprint -m r --twrfile /var/lib/tripwire/report/verseau-*.twr > /root/twreport.txt
La commande çi-dessous permet la visualisation du contenu de la base de donnée tripwire
(/var/lib/tripwire/verseau.twd, chez moi), attention le fichier peut etre gros :).
verseau#twprint -m d --print-report > database.txt
Si tu veux mettre ta base de donnée a jour, la commande suivante:
verseau#tripwire --check --interactive
va scanner ton système (ou ce que tu auras défini), elle ouvrira automatiquement
un éditeur de texte(vi chez moi, mais modifiable dans le twcfg.txt) contenant un rapport
ou les fichiers crées/modifiés/disparus apparaissent et, suivant que tu decoche ou laisse
cocher la case correspondant a l'objet modifier, mettra a jour ta database une fois
le fichier fermé.(euh...je crois que j'ai pas été clair là...!)
La mise a jour de la base suivant un rapport(scan) s'effectue avec la commande suivante(selection du rapport pour la M.A.J):
verseau#tripwire --update --twrfile /var/lib/trpwire/report/rapport.twr
La page man de "twadmin" estICI
La page man de "twprint" estICI
#################################
# #
# Voici un exemple de rapport #
# #
#################################
Note: Report is not encrypted.
Tripwire(R) 2.3.0 Integrity Check Report
Report generated by: root
Report created on: Sat Oct 25 02:39:34 2003
Database last updated on: Never
===============================================================================
Report Summary:
===============================================================================
Host name: verseau
Host IP address: 192.168.0.3
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/verseau.twd
Command line used: /usr/sbin/tripwire --check
===============================================================================
Rule Summary:
===============================================================================
-------------------------------------------------------------------------------
Section: Unix File System
-------------------------------------------------------------------------------
Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
Invariant Directories 66 0 0 0
Temporary directories 33 0 0 0
Tripwire Data Files 100 0 0 0
Critical devices 100 0 0 0
User binaries 66 0 0 0
Tripwire Binaries 100 0 0 0
Libraries 66 0 0 0
File System and Disk Administraton Programs
100 0 0 0
Kernel Administration Programs 100 0 0 0
Networking Programs 100 0 0 0
System Administration Programs 100 0 0 0
Hardware and Device Control Programs
100 0 0 0
System Information Programs 100 0 0 0
Application Information Programs
100 0 0 0
Critical Utility Sym-Links 100 0 0 0
Critical system boot files 100 0 0 0
Critical configuration files 100 0 0 0
System boot changes 100 0 0 0
OS executables and libraries 100 0 0 0
Security Control 100 0 0 0
Login Scripts 100 0 0 0
Operating System Utilities 100 0 0 0
Shell Binaries 100 0 0 0
* Root config files 100 0 0 5
Total objects scanned: 32403
Total violations found: 5
===============================================================================
Object Detail:
===============================================================================
-------------------------------------------------------------------------------
Section: Unix File System
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
Rule Name: Root config files (/root)
Severity Level: 100
-------------------------------------------------------------------------------
----------------------------------------
Modified Objects: 5
----------------------------------------
Modified object name: /root
Property: Expected Observed
------------- ----------- -----------
* Modify Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003
* Change Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003
Modified object name: /root/.viminfo
Property: Expected Observed
------------- ----------- -----------
* Size 6224 6187
* Modify Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003
* Change Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003
* CRC32 AD1yZS AYHi+D
* MD5 AqApXLW2fX+y9dfSVovOo+ DrWSAlP5ZcyUDf6Hq36aW0
Modified object name: /root/.vnc/verseau:2.log
Property: Expected Observed
------------- ----------- -----------
* Size 6444 6490
* Modify Time Sat Oct 25 02:27:20 2003 Sat Oct 25 02:40:43 2003
* Change Time Sat Oct 25 02:27:20 2003 Sat Oct 25 02:40:43 2003
* CRC32 DJweGd Cd600X
* MD5 D1bz/edxjtdVE2ZClsRH7q CtezauNK9WsHRYAStFQZPF
Modified object name: /root/script
Property: Expected Observed
------------- ----------- -----------
* Modify Time Sat Oct 25 02:37:08 2003 Sat Oct 25 02:39:31 2003
* Change Time Sat Oct 25 02:37:08 2003 Sat Oct 25 02:39:31 2003
Modified object name: /root/script/tripwire.sh
Property: Expected Observed
------------- ----------- -----------
* Inode Number 20143 15221
* Size 251 255
* Modify Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003
* Change Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003
* CRC32 A+zANZ Bs2e6v
* MD5 A3pCxxJgZXk4Gtu9w6byqR Ak7gWv49MP/xZKLLZgAE5M
===============================================================================
Error Report:
===============================================================================
No Errors
-------------------------------------------------------------------------------
*** End of report ***
Tripwire 2.3 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.
########################################
FIN DU RAPPORT
#######
Philippe Chadefaux(http://www.ac-creteil.fr), détail un peu la mise en place et
l'utilisation de tripwire, je ne ferais pas mieux, mais reprendrais quand meme
quelques une de ces explications.
Les régles qui s'applique:
$(Device) = pour les "devices" (périphérique de dev je pense :()
$(Dynamic) = pour les fichier souvent lus mais rarement modifiés, ex:fichier de conf
$(Growing) = pour les fichier dont seul l'attribut "taille" peut changer, ex: les logs
$(IgnoreAll) = ignore tout
$(IgnoreNone)= tout vérifier
$(ReadOnly) = fichier en lecture seul, ex: binaire, certains contenu ftp et web
Mon fichier twpol.txt