Compilation Installation et Configuration de Tripwire
Logiciel de contrôle d'intégrité
Le logiciel Tripwire aide à assurer l'intégrité de répertoires et de systèmes de fichiers importants en identifiant tout changement apporté à ceux-ci. Tripwire est un concurrent de Osiris.
Téléchargent :
Site officiel : http://europe.tripwire.com/
Il existe trois produits différents : .
- Tripwire Entreprise
- Tripwire for Servers
- Tripwire Open-source
Comparatif : http://www.tripwire.com/products/enterprise/ost/compare.cfm
Biensur nous nous allons tester la version open source :
Rendez vous : http://sourceforge.net/projects/tripwire/files/
Compilation :
cd /opt/SOURCES wget http://downloads.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.1.2-src/tripwire-2.4.1.2-src.tar.bz2?use_mirror=ignum tar xvjf tripwire-2.4.1.2-src.tar.bz2 cd tripwire-2.4.1.2-src mkdir -p /opt/tripwire2412 ./configure --prefix=/opt/tripwire2412 –enable-static make
Editez le fichier suivant : install/install.cfg et faites y les modifications que vous jugerez nécessaire.
make install
Voila l’installation est terminé.
cd /opt/tripwire2412/sbin
Description des binaires :
- twprint : binaire de gestion de la base et des rapports
- twadmin : binaire de gestion des fichiers de configurations
- tripwire : binaire principal de scan
- siggen : binaire pour les cryptages
Initialisation, configuration et création de la base :
Création de la base :
cd /opt/tripwire2412/sbin ./tripwire --init
La base se trouve ici : /opt/tripwire2412/lib/tripwire/PCIDSS.twd
Premier check de vérification :
./tripwire --check
Le binaire twadmin est la commande servant à modifier les fichiers de configuration et à les régénérer/encrypter en cas de modification.
Principe : modification de .txt, lancement de twadmin pour générer le fichier .cfg crypter à partir du .txt
Test envoi de rapport :
./tripwire --test --email test@domaine.fr
Vous devriez recevoir un mail contenant :
If you receive this message, email notification from tripwire is working correctly.
Création de la tache planifiée :
cp -a /opt/SOURCES/tripwire-2.4.1.2-src/contrib/tripwire-check /opt/tripwire2412/etc/ cd /opt/tripwire2412/etc/ chown -R root: tripwire-check vi tripwire-check (quelques modifications à faire, path et mail)
et
crontab -e 5 * * * * /opt/tripwire2412/etc/tripwire-check
Modification rapport :
Si vous désirez ajouter des répertoires ou fichiers a surveiller modifiez : twpol.txt
Exemple avec des fichiers ou dossiers n’existant pas sur le système.
File system error. Filename: /etc/mail/statistics No such file or directory File system error. Filename: /cdrom No such file or directory
Commentez /cdrom et /etc/mail/statistics.
Régénérez le fichier de conf :
./twadmin -m P ../etc/twpol.txt Please enter your site passphrase: Wrote policy file: /opt/tripwire2412/etc/tw.pol
En cas d’erreur de votre part un fichier de sauvegarde tw.pol.bak est créé.
Valider les modifications :
./tripwire --init ./etc/tripewire-check
Première commande prise en compte des modifications et création d'un nouvelle base. Seconde commande exécution d’un nouveau scan avec envoi de rapport.
Lorsque vous recevrez un rapport vous informant que des fichiers ont été modifié ou créés , pour pas qu'ils soient noté dans les prochains rapport il vous faudra réinitialisé tripwire comme ceci :
./tripwire --init
Ce qu'il faut savoir c'est que Tripwire est assez gourmand lors des "scan" votre uptime aura vite fait de monter en flèche sur des machines tout à fait honorable... en revanche j'ai trouvé le rapport beaucoup plus complet que celui d'Osiris.