Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
2WIS – SS 2020 - Teil 10/Tripwire
Literatur
[10-1] http://de.wikipedia.org/wiki/Intrusion_Detection_System
[10-2] http://www.searchsecurity.de/tipp/IDS-Anbieter-Intrusion-Detection-System-im-Ueberblick
[10-3] http://www.linux-magazin.de/Ausgaben/2015/10/Host-Based-IDS
[10-4] http://server1.sharewiz.net/doku.php?id=tripwire:verify_the_tripwire_configuration
[10-5] https://www.oracle.com/technetwork/testcontent/linuxsckbk-ch01-130383.pdf
[10-6] https://docs.lib.purdue.edu/cgi/viewcontent.cgi?referer=https://www.google.com/&httpsredir=1&article=2121&context=cstech
[10-7] http://www.fis.unipr.it/pub/linux/redhat/9++/en/doc/RH-DOCS/rhl-rg-de-9/ch-tripwire.html
[10-8] https://docs.lib.purdue.edu/cgi/viewcontent.cgi?article=2083&context=cstech
[10-9] https://www.commoncriteriaportal.org/files/epfiles/st_vid10124-st.pdf https://www.commoncriteriaportal.org/files/epfiles/st_vid10462-st.pdf
3WIS – SS 2020 - Teil 10/Tripwire
Tripwire 2.4.3.7
� 1992 an der Purdue University entwickelt
� Der Klassiker unter den Host-basierten IDS
� Kommerzielle Version:http://www.tripwire.orghttp://www.tripwire.com
� Offene Version– https://github.com/Tripwire/tripwire-open-source/releases
Version 2.4.3.7 (April 2020)
4WIS – SS 2020 - Teil 10/Tripwire
Aufbau
� Aufbau– Zwei Konfigurationsdateien
Konfiguration: twcfg.txtPolicy: twpol.txtjeweils in ASCII und verschlüsselter Form
– DatenbankOrt und weitere Parameter in twcfg.txt festgelegt
– Vier Programme: tripwire, twadmin, twprint, siggen
� Dateien werden mit einem Schlüssel unterschrieben und verschlüsselt (El Gamal, 1024 bit).
5WIS – SS 2020 - Teil 10/Tripwire
Installation I
� Als RPM:– rpm -ivh tripwire-2.4.3.7-5.el8.src.rpm
– rpm -ivh tripwire-2.4.3.7-5.el8.x86_64.rpm
� Es sollte von den Quellen übersetzt und installiert werden.
� Quellen (github): tripwire-open-source-2.4.3.7.tar.gz
� Installation
� Alle Programme sollten statisch gebunden werden. Dies ist aber unter CentOS 8.* leider nicht der Fall.
tar zxf tripwire-open-source-2.4.3.7.tar.gzcd tripwire-open-source-2.4.3.7./configuremakemake installmake clean
6WIS – SS 2020 - Teil 10/Tripwire
Installation II – make install
Using configuration file ./installer/install.cfgChecking for programs specified in install configuration file..../usr/sbin/sendmail -oi -t exists. Continuing installation./bin/vi exists. Continuing installation.
...
This program will copy Tripwire files to the following directories:
TWBIN: /usr/local/sbin TWMAN: /usr/local/man TWPOLICY: /usr/local/etc TWREPORT: /usr/local/lib/tripwire/report TWDB: /usr/local/lib/tripwire TWSITEKEYDIR: /usr/local/etcTWLOCALKEYDIR: /usr/local/etc
Im Ordner /usr/local/etc stehen dann die Dateien zur Konfiguration.
7WIS – SS 2020 - Teil 10/Tripwire
Installation III – make install
Copying files...
/usr/local/doc/tripwire/COPYING: copied/usr/local/sbin/tripwire: copied/usr/local/sbin/twadmin: copied/usr/local/sbin/twprint: copied/usr/local/sbin/siggen: copied/usr/local/doc/tripwire/TRADEMARK: copied/usr/local/doc/tripwire/policyguide.txt: copied/usr/local/etc/twpol-Linux.txt: copied/usr/local/doc/tripwire/COMMERCIAL: copied/usr/local/doc/tripwire/ReadMe-2.4.3: copied/usr/local/doc/tripwire/ChangeLog: copied
[root@student etc]# llinsgesamt 44-rw-r-----. 1 root root 931 24. Okt 13:25 site.key-rw-r-----. 1 root root 931 24. Okt 13:26 student-local.key-rw-r-----. 1 root root 4586 24. Okt 13:29 tw.cfg-rw-r-----. 1 root root 502 24. Okt 13:29 twcfg.txt-rw-r-----. 1 root root 4159 24. Okt 13:29 tw.pol-rw-r-----. 1 root root 14217 24. Okt 13:29 twpol.txt[root@student etc]#
Ordner /usr/local/etc
8WIS – SS 2020 - Teil 10/Tripwire
Installation IV – make install
Creating key files...
(When selecting a passphrase, keep in mind that good passphrases ...have upper and lower case letters, digits and punctuation marks, ...at least 8 characters in length.)
Enter the site keyfile passphrase:Verify the site keyfile passphrase:Generating key (this may take several minutes)...Key generation ...
(When selecting a passphrase, keep in mind that good passphrases ...have upper and lower case letters, digits and punctuation marks, and ...at least 8 characters in length.)
Enter the local keyfile passphrase:Verify the local keyfile passphrase:Generating key (this may take several minutes)...Key generation ...
Als Teil der Installation werden die beiden Passphrasen definiert.
9WIS – SS 2020 - Teil 10/Tripwire
Installation V – make install
----------------------------------------------Generating Tripwire configuration file...
----------------------------------------------Creating signed configuration file...Please enter your site passphrase: Wrote configuration file: /usr/local/etc/tw.cfg
A clear-text version of the Tripwire configuration file/usr/local/etc/twcfg.txthas been preserved for your inspection. It is recommendedthat you delete this file manually after you have examined it....
� Als Letztes werden die Konfigurationsdateien generiert.
� Die unverschlüsselten Versionen sollten nach Verschlüsselung gelöscht werden.
10WIS – SS 2020 - Teil 10/Tripwire
Datei twcfg.txt
[root@student etc]# more twcfg.txt ROOT =/usr/local/sbinPOLFILE =/usr/local/etc/tw.polDBFILE =/usr/local/lib/tripwire/$(HOSTNAME).twdREPORTFILE =/usr/local/lib/tripwire/report/$(HOSTNAME)-$(DATE).twrSITEKEYFILE =/usr/local/etc/site.keyLOCALKEYFILE =/usr/local/etc/student-local.keyEDITOR =/bin/viLATEPROMPTING =falseLOOSEDIRECTORYCHECKING =falseMAILNOVIOLATIONS =trueEMAILREPORTLEVEL =3REPORTLEVEL =3MAILMETHOD =SENDMAILSYSLOGREPORTING =falseMAILPROGRAM =/usr/sbin/sendmail -oi -t[root@student etc]#
� Datei twcfg.txt ansehen und sich die Dateinamen samt Pfad merken bzw. ändern (am besten alles lassen).
11WIS – SS 2020 - Teil 10/Tripwire
Konfigurationsmöglichkeiten
Variablen Beispielwert Erläuterung
MAILMETHOD sendmail
MAILPROGRAM /usr/lib/sendmail -oi -t
MAILNOVIOLATIONS true Mail auch dann, wenn keineProbleme festgestellt werden
Von der letzten Möglichkeit sollte Gebrauch gemacht werden, dadann immer extern festgestellt werden kann, dass tripwiretatsächlich aktiv war....
12WIS – SS 2020 - Teil 10/Tripwire
Installation VI - twpol.txt
� Policy-Datei twpol.txt erstellen und dabei sich an die mitgelieferte Beispieldatei halten
� Folgendes sollte beachtet werden:– Dateien, die sich "natürlicherweise" ändern, sollten aus der
Überwachung herausgenommen werden:Beispiele in /etc:/etc/fstab, /etc/mount
– Für jede Datei darf maximal nur eine Regel zutreffen, ansonsten arbeitet tripwire recht instabil.Das führt aber dazu, dass viele Regeln erstellt werden müssen, um bestimmte Ausnahmen modellieren zu können.
13WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Einfachster Fall I
� Jede Regel endet mit einem Semikolon.
� Objekt ist– Unterbaum mit rekursiven Ordnern innerhalb des Dateisystems
von Objekt, d.h. das Dateisystem wird nicht verlassen
– Datei
– Makros als Kürzel
� Eigenschaften (zu überprüfen):– Makros als Kürzel
– Explizite Angabe
Regelaufbau:
Objekt -> Eigenschaften;
14WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Einfachster Fall II (Auszug)
Eigenschaft Erläuterung
p Dateirechte (Permissions)
i Inodenummer
n Anzahl der harten Links (Referenzzähler)
u User-ID
g Group-ID
t Typ der Datei
s Größe der Datei
d Gerätenummer, auf welche die Inodes liegen
r Gerätenummer, auf welche die Inodes zeigen
b Anzahl der allokatierten Blöcke
m Zeitpunkt der Modifikation
c Zeitpunkt der Erstellung
M MD5-Summe
S SHA-1-Summe
15WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Einfachster Fall III
Makroname Inhalt Erläuterung
$(SEC_READONLY) +pinugtsdbmCM-rlacSH
$(SEC_DYNAMIC) +pinugtd-srlbamcCMSH Häufige Änderungen
$(SEC_GROWING) +pinugtdl-srbamcCMSH Für Logfiles ohne Rotate
$(SEC_IGNORE_ALL) -pinugtsdrlbamcCMSH Nur Existenz der Datei
$(SEC_IGNORE_NONE) +pinugtsdrbamcCMSH-l Alles wird überwacht
$(SEC_DEVICE) +pugsdr-intlbamcCMSH Für Gerätedateien
$(SEC_TEMPORARY) +pugt
Hinweise:
� In den Makros/Variablen dürfen keine Operatoren benutzt werden.
� Siehe– https://www-uxsup.csx.cam.ac.uk/pub/doc/redhat/redhat7.3/rhl-
rg-en-7.3/ch-tripwire.html
– https://linux.die.net/man/4/twpolicy
16WIS – SS 2020 - Teil 10/Tripwire
Beispiele
# Beispiel 1User = /home;Lesend = +pinugtsM;#/etc -> $(Lesend);$(User) -> $(Lesend)-M+S;
# Beispiel 2#/etc -> $(SEC_READONLY);/var -> $(SEC_DYNAMIC);
Beispiel für eigene Makros
Beispiel für vordefinierte Makros
17WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Zusammenfassungen
(Attribut1=Wert1, Attribut2=Wert2,...){Objekt1 -> Eigenschaften1;Objekt2 -> Eigenschaften2;...}
Attribute Erläuterung
rulename Definition eines Namens für den Regelblock
emailto Mailadressen für den Regelblock
severity Hinter jeder Regel wird eine Wichtigkeitsnummer angefügt, die per Parameter bei tripwire ausgewählt werden kann
recurse Begrenzung der Rekursionstiefe
18WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Attribute I
Die Attribute können auch in der Regel stehen, z.B.:
/etc -> $(SEC_READONLY) ([email protected]);
/tmp -> $(SEC_IGNORE_ALL) (recurse=0);
Wert Erläuterung
-1 Beliebig tief
0 keine Rekursion
N Rekursion bis zum N. geschachtelten Verzeichnis
Werte für recurse:
19WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Attribute II
Stufe Wert
Low 33
Medium 66
High 100
Wichtigkeit (severity) ist in drei Stufen geteilt:
Bei einer Prüfung wird ein Wert angegeben, wobei alle Regelnmit einem Wichtigkeitsgrad größer als dieser geprüft werden.Default für diesen Wert ist -1, das bedeutet: alles wird geprüft.
20WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - Stop Points
� Ein Stop Point ist ein Objekt, das eine rekursive Prüfung an dieser Stelle abbricht.
� Das Objekt sowie der mögliche daran hängende Unterbaum werden dann nicht geprüft. Wenn Teile dieses Unterbaum trotzdem geprüft werden sollen, dann sind weitere Regeln erforderlich.
� Beispiel:
/etc -> $(SEC_READONLY);!/etc/fstab;!/etc/mount;
21WIS – SS 2020 - Teil 10/Tripwire
Richtlinien - IF-Bedingungen
In einem sehr eingeschränkten Maße können IF-Bedingungenbenutzt werden:
@@ifhost Name/var -> $(SEC_DYNAMIC);
@@else/var -> $(SEC_GROWING);
@@endif
Dies dient dazu ähnliche Policy-Dateien für verschiedene Systemezusammenfassen zu können.
Weiterhin gibt es noch die @@print-Direktive zum Erzeugen vonStandard-Output und die @@end-Direktive zur Beendigung aller Regeln.
22WIS – SS 2020 - Teil 10/Tripwire
Installation IV
� Erzeugen zweier Schlüssel anhand von Passphrasen(bis zu 255 Zeichen):– Site-key
dient zum Signieren und Verschlüsseln des Policy Files und der Berichtetwadmin --generate-keys -S SiteKeyFILE
– Local-keydient zum Signieren und Verschlüsseln der Konfigurationsdatei und der Datenbanktwadmin --generate-keys -L LocalKeyFILE
Beispiel
twadmin --generate-keys -S /usr/local/etc/site.key
twadmin --generate-keys -L /usr/local/etc/student-local.key
Die Dateinamen für die Schlüssel wurden in twcfg.txt definiert.
23WIS – SS 2020 - Teil 10/Tripwire
Bemerkungen
� Der Site-Key kann für mehrere Maschinen verwendet werden, so dass zentral mit einem Key die Policy-Dateien verwaltet werden können.
� Der Local-Key gilt immer nur für eine Maschine.
24WIS – SS 2020 - Teil 10/Tripwire
Installation V
twadmin --create-cfgfile -c /usr/local/etc/tw.cfg -S /usr/local/etc/site.key /usr/local/etc/twcfg.txt
Nun wird die Konfigurationsdatei verschlüsselt und unterschrieben:
Dann die Policy-Datei:
twadmin --create-polfile -c /usr/local/etc/tw.cfg -S /usr/local/etc/site.key -p /usr/local/etc/tw.pol /usr/local/etc/twpol.txt
25WIS – SS 2020 - Teil 10/Tripwire
Erzeugen der Datenbank:
tripwire --init -c /usr/local/etc/tw.cfg -S /usr/local/etc/site.key
Name der Datenbank: /usr/local/lib/tripwire/student.twd oderentsprechend der Konfigurationsdatei
Installation VI
[root@student etc]# tripwire --init -c /usr/local/etc/tw.cfg -S ....Please enter your local passphrase: Parsing policy file: /usr/local/etc/tw.polGenerating the database...*** Processing Unix File System ***The object: "/media/sf_Shared" is on a different file system...ignoring.The object: "/misc" is on a different file system...ignoring.The object: "/net" is on a different file system...ignoring.The object: "/selinux" is on a different file system...ignoring.The object: "/sys" is on a different file system...ignoring.
Beispiel für Output
26WIS – SS 2020 - Teil 10/Tripwire
Erster manueller Prüflauf:
tripwire --check -c /usr/local/etc/tw.cfg -M
Die Option M führt zum Absenden von Email (als Test).
Erster manueller Lauf I
Beginning email reporting...No email recipients specified, no email sent.
Wrote report file: /usr/local/lib/tripwire/report/student-20181101-173511.twr
Inzwischen ist schon etwas passiert, z.B. wurden Dateien aus /etc mit touch "bearbeitet". Dann kann dies mit einem Prüflauf festgestellt werden.
27WIS – SS 2020 - Teil 10/Tripwire
Erster manueller Lauf II - Report
Open Source Tripwire(R) 2.4.3.7 Integrity Check Report
Report generated by: rootReport created on: Do 01 Nov 2018 17:35:11 CETDatabase last updated on: Never
===========================================================================Report Summary:===========================================================================
Host name: studentHost IP address: 127.0.0.1Host ID: NonePolicy file used: /usr/local/etc/tw.polConfiguration file used: /usr/local/etc/tw.cfgDatabase file used: /usr/local/lib/tripwire/student.twdCommand line used: tripwire --check -c /usr/local/etc/tw.cfg -M
28WIS – SS 2020 - Teil 10/Tripwire
Erster manueller Lauf III - Report
===============================================================================Rule Summary: ===============================================================================------------------------------------------------------------------------------- Section: Unix File System------------------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- * Tripwire Data Files 0 1 0 0 * Monitor Filesystems 0 0 0 3 User Binaries and Libraries 0 0 0 0 Tripwire Binaries 0 0 0 0 OS Binaries and Libraries 0 0 0 0 Temporary Directories 0 0 0 0 * Global Configuration Files 0 0 0 6 * System Boot Changes 0 0 2 0 RPM Checksum Files 0 0 0 0 OS Devices and Misc Directories 0 0 0 0 OS Boot Files and Mount Points 0 0 0 0 * Root Directory and Files 0 0 0 4
Total objects scanned: 342239Total violations found: 16
29WIS – SS 2020 - Teil 10/Tripwire
Erster manueller Lauf IV - Report
===========================================================================Object Summary: ===========================================================================---------------------------------------------------------------------------# Section: Unix File System------------------------------------------------------------------------------------------------------------------------------------------------------Rule Name: Tripwire Data Files (/usr/local/lib/tripwire)Severity Level: 0---------------------------------------------------------------------------Added:"/usr/local/lib/tripwire/student.twd"---------------------------------------------------------------------------Rule Name: Global Configuration Files (/etc)Severity Level: 0---------------------------------------------------------------------------Modified:"/etc/subversion""/etc/sudo-ldap.conf""/etc/sudo.conf""/etc/sudoers""/etc/sudoers.d""/etc/sudoers.rpmnew"
30WIS – SS 2020 - Teil 10/Tripwire
Prüfläufe
Prüflauf im Hintergrund mit /etc/cron gesteuert:
tripwire --check -c /usr/local/etc/tw.cfg
Interaktiver Prüflauf mit anschließender Update-Möglichkeit:
tripwire --check -c /usr/local/etc/tw.cfg –interactive
Es wird ein Report erzeugt, der in den Editor vi geladen wird. Nach Abspeichern werden alle selektierten Änderungen akzeptiert.
31WIS – SS 2020 - Teil 10/Tripwire
Update der Datenbank anhand eines Berichts
tripwire --update -c /usr/local/etc/tw.cfg -r /usr/local/lib/tripwire/report/port.twr
Aktualisierung nach Änderung der Policies:
tripwire --update-policy /usr/local/etc/twpol.txt
Es wird die Policy-Datei verschlüsselt und die Datenbank aktualisiert.
Rekonstruktion der Policy-Datei
twadmin --print-polfile -polfile /usr/local/etc/twpol.pol
Update und Rekonstruktion
32WIS – SS 2020 - Teil 10/Tripwire
Konfigurationsdatei und EMail
Rekonstruktion der verschlüsselten cfg-Datei
twadmin --print-cfgfile --cfgfile File.cfg
Konvertierung der ASCII-Datei zur verschlüsselten cfg-Datei
twadmin --create-cfgfile File.txt
Testet das Versenden eines Berichts an die Email-Adresse
tripwire --test --email Email-Adresse
33WIS – SS 2020 - Teil 10/Tripwire
Ausgabe der Datenbank:
twprint --print-dbfile
Ausgabe eines bestehenden Reports mit (geänderten) Level
twprint --print-report -r report.twr --report-level X
Berichte
34WIS – SS 2020 - Teil 10/Tripwire
Hinweise
� Die ASCII-Versionen der Konfigurationsdatei und der Policy-Datei müssen gelöscht werden (jederzeit rekonstruierbar).
� Tripwire setzt initial einen sicheren Zustand voraus.
� Alle drei wichtigen Dateien (pol-/cfg- und Datenbank) sollten auf ein extra Medium schreibgeschützt kopiert werden.
� Beispiel: Diese drei Dateien auf CD brennen und per mount benutzen. Dies hat den Nachteil, dass nicht sichergestellt werden kann, dass auch wirklich die CD-Version benutzt wird.
� Einen weiteren Stolperdraht aufspannen: Mit Absicht eine zufällige Verletzung produzieren. Wenn plötzlich Tripwire diese nicht mehr meldet....
35WIS – SS 2020 - Teil 10/Tripwire
Interaktiver Prüflauf I
---------------------------------------------------------------------Rule Name: Tripwire Data Files (/usr/local/lib/tripwire)Severity Level: 0---------------------------------------------------------------------Remove the "x" from the adjacent box to prevent updating the databasewith the new values for this object.Added:[x] "/usr/local/lib/tripwire/student.twd"...Remove the "x" from the adjacent box to prevent updating the databasewith the new values for this object.
Modified:[x] "/etc"[x] "/etc/resolv.conf"[x] "/etc/subversion"[x] "/etc/sudo-ldap.conf"...
tripwire --check -c /usr/local/etc/tw.cfg --interactive
36WIS – SS 2020 - Teil 10/Tripwire
Interaktiver Prüflauf II - Fortsetzung
---------------------------------------- Added Objects: 1 ----------------------------------------
Added object name: /usr/local/lib/tripwire/student.twd
Property: Expected Observed ------------- ----------- -----------* Object Type --- Regular File* Device Number --- 2049* Mode --- -rw-r--r--* Num Links --- 1* UID --- root (0)* GID --- root (0)
37WIS – SS 2020 - Teil 10/Tripwire
Interaktiver Prüflauf III - Fortsetzung
Modified object name: /etc/resolv.conf
Property: Expected Observed ------------- ----------- ----------- Object Type Regular File Regular File Device Number 2049 2049 File Device Number 0 0 Inode Number 726546 726546 Mode -rw-r--r-- -rw-r--r-- Num Links 1 1 UID root (0) root (0) GID root (0) root (0)* Size 89 54* Modify Time Di 18 Sep 2018 21:39:24 Fr 02 Nov 2018 13:53:01* Change Time Di 18 Sep 2018 21:39:24 Fr 02 Nov 2018 13:53:01 Blocks 8 8* CRC32 BAs+uM CDdIy8* MD5 DI1m2WT2LLJQSYi/kGPNIv B7ufUlywdaBGw6N7pAu6S7
38WIS – SS 2020 - Teil 10/Tripwire
Interaktiver Prüflauf IV
Remove the "x" from the adjacent box to prevent updating thedatabase with the new values for this object.
� Es muss dann einzeln durch die Dateien gegangen und geprüft werden, ob diese Änderungen in Ordnung sind.
� Das bedeutet aber auch, dass vor einer Installation bzw. einem Update ein eigener Prüflauf gemacht werden muss.
� Dann wird aktualisiert, dann ein weiterer Lauf.
� Dann wird neue Software installiert, dann ein weiterer Lauf.
� Wenn diese Dinge gemischt werden, ist unklar, aus welchen Quellen die Änderungen kommen.
Integrity check complete.Please enter your local passphrase: Wrote database file: /usr/local/lib/tripwire/student.twd[root@student etc]#
39WIS – SS 2020 - Teil 10/Tripwire
Manual-Seiten
TRIPWIRE(8) NAME tripwire - a file integrity checker for UNIX-like systems
SYNOPSIS tripwire { -m i | --init } [ options... ] tripwire { -m c | --check } [ options... ] [ object1 [ object2... ]] tripwire { -m u | --update } [ options... ] tripwire { -m p | --update-policy } [ options... ] policyfile.txt tripwire { -m t | --test } [ options... ]
DESCRIPTION Database Initialization Mode Running tripwire in Database Initialization mode is ......
man tripwire
Auch: "man twconfig" und "man twpolicy"
40WIS – SS 2020 - Teil 10/Tripwire
Deinstallation
� Es werden allerdings nicht alle installierten Dateien gelöscht.
� Z.B. bleiben die Konfigurationsdateien übrig. Diese können mit den folgenden Kommandos gelöscht werden:
� Das setzt allerdings voraus, dass die oben angegebenen Defaultwerte aus twcfg.txt benutzt werden.
make uninstall
rm -f /usr/local/etc/*.key /usr/local/etc/tw*rm -rf /usr/local/lib/tripwire/
41WIS – SS 2020 - Teil 10/Tripwire
Optimierungen I
� Es sollen auch montierte Dateisysteme geprüft werden.
� Rekonstruktion der (vorher gelöschten) Konfigurationsdateitwadmin --print-cfgfile > /usr/local/etc/twcfg.txt
� Dazu muss in der Konfigurationsdatei eine Option gesetzt werden:
CROSSFILESYSTEMS =true
� Danach muss die neue Konfigurationsdatei verschlüsselt werden:twadmin --create-cfgfile -c /usr/local/etc/tw.cfg -S /usr/local/etc/site.key /usr/local/etc/twcfg.txt
The object: "/media/sf_Shared" is on a different file system...ignoring.The object: "/misc" is on a different file system...ignoring.The object: "/net" is on a different file system...ignoring.The object: "/selinux" is on a different file system...ignoring.The object: "/sys" is on a different file system...ignoring.
Meldungen dieser Art beseitigen:
42WIS – SS 2020 - Teil 10/Tripwire
Optimierungen II - policy
� Folgende Dateisysteme sollten ausgeschlossen werden:– /proc
– /sysfs
– /media – Vorsicht!! Hier werden fremde Medien montiert; dies nicht zu prüfen bedeutet, dass hier fremde Dateien unbemerkt abgelegt werden können.
577. File system error. Filename: /cdrom Datei oder Verzeichnis nicht gefunden578. File system error. Filename: /floppy Datei oder Verzeichnis nicht gefunden579. File system error. Filename: /initrd Datei oder Verzeichnis nicht gefunden
Meldungen dieser Art beseitigen:
43WIS – SS 2020 - Teil 10/Tripwire
Optimierungen III - policy
� Rekonstruktion der Policy-Datei
twadmin --print-polfile >/usr/local/etc/twpol.txt
� Editieren der Policy-Datei
� Aktualisieren der verschlüsselten Policy-Datei und Datenbank
tripwire --update-policy /usr/local/etc/twpol.txt
� Das geht nur, wenn sich inzwischen nichts geändert hat.
� Falls doch, dann hilft nur nach manuellem Prüfen:
tripwire --init -c /usr/local/etc/tw.cfg -S /usr/local/etc/site.key
[root@student etc]# tripwire --update-policy /usr/local/etc/twpol.txtParsing policy file: /usr/local/etc/twpol.txtPlease enter your local passphrase: Please enter your site passphrase: ======== Policy Update: Processing section Unix File System.======== Step 1: Gathering information for the new policy....
44WIS – SS 2020 - Teil 10/Tripwire
Weitere HIDS
Name Version URL
AIDE 0.16.2 https://github.com/aide/aide
fwlogwatch 1.5 http://fwlogwatch.inside-security.de/
logwatch 7.5.3 http://sourceforge.net/projects/logwatch/files
fcheck 2.07 http://www.tucows.com/preview/51638/FCheck
integrit 4.2 http://integrit.sourceforge.net/texinfo/integrit.html https://github.com/integrit/integrit
afick 3.6.1 http://sourceforge.net/projects/afick/
Samhain 4.4.1 http://la-samhna.de/samhain/
osiris http://www.securityfocus.com/excerpts/16 https://packetstormsecurity.com/files/10678/osiris-1.2.0.tar.gz.html
45WIS – SS 2020 - Teil 10/Tripwire
Nun wieder etwas entspannen...