System-Linux

Aller au contenu | Aller au menu | Aller à la recherche

Compilation Installation et Configuration de Tripwire

tripwire jpg

Logiciel de contrôle d'intégrité

Le logiciel Tripwire aide à assurer l'intégrité de répertoires et de systèmes de fichiers importants en identifiant tout changement apporté à ceux-ci. Tripwire est un concurrent de Osiris.

Téléchargent :

Site officiel : http://europe.tripwire.com/

Il existe trois produits différents : .

  • Tripwire Entreprise
  • Tripwire for Servers
  • Tripwire Open-source

Comparatif : http://www.tripwire.com/products/enterprise/ost/compare.cfm

Biensur nous nous allons tester la version open source :

Rendez vous : http://sourceforge.net/projects/tripwire/files/

Compilation :

cd /opt/SOURCES
wget http://downloads.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.1.2-src/tripwire-2.4.1.2-src.tar.bz2?use_mirror=ignum
tar xvjf tripwire-2.4.1.2-src.tar.bz2
cd tripwire-2.4.1.2-src
mkdir -p /opt/tripwire2412
./configure --prefix=/opt/tripwire2412 –enable-static
make

Editez le fichier suivant : install/install.cfg et faites y les modifications que vous jugerez nécessaire.

make install

Voila l’installation est terminé.

cd /opt/tripwire2412/sbin

Description des binaires :

  • twprint : binaire de gestion de la base et des rapports
  • twadmin : binaire de gestion des fichiers de configurations
  • tripwire : binaire principal de scan
  • siggen : binaire pour les cryptages

Initialisation, configuration et création de la base :

Création de la base :

cd /opt/tripwire2412/sbin
./tripwire --init

La base se trouve ici : /opt/tripwire2412/lib/tripwire/PCIDSS.twd

Premier check de vérification :

./tripwire --check

Le binaire twadmin est la commande servant à modifier les fichiers de configuration et à les régénérer/encrypter en cas de modification.

Principe : modification de .txt, lancement de twadmin pour générer le fichier .cfg crypter à partir du .txt

Test envoi de rapport :

./tripwire --test --email test@domaine.fr

Vous devriez recevoir un mail contenant :

If you receive this message, email notification from tripwire is working correctly.

Création de la tache planifiée :

cp -a  /opt/SOURCES/tripwire-2.4.1.2-src/contrib/tripwire-check /opt/tripwire2412/etc/
cd /opt/tripwire2412/etc/
chown -R root: tripwire-check
vi tripwire-check (quelques modifications à faire, path et mail)

et

crontab -e
5 * * * * /opt/tripwire2412/etc/tripwire-check

Modification rapport :

Si vous désirez ajouter des répertoires ou fichiers a surveiller modifiez : twpol.txt

Exemple avec des fichiers ou dossiers n’existant pas sur le système.

File system error.
Filename: /etc/mail/statistics
No such file or directory
File system error.
Filename: /cdrom
No such file or directory

Commentez /cdrom et /etc/mail/statistics.

Régénérez le fichier de conf :

./twadmin -m P ../etc/twpol.txt
Please enter your site passphrase:
Wrote policy file: /opt/tripwire2412/etc/tw.pol

En cas d’erreur de votre part un fichier de sauvegarde tw.pol.bak est créé.

Valider les modifications :

./tripwire --init
./etc/tripewire-check

Première commande prise en compte des modifications et création d'un nouvelle base. Seconde commande exécution d’un nouveau scan avec envoi de rapport.

Lorsque vous recevrez un rapport vous informant que des fichiers ont été modifié ou créés , pour pas qu'ils soient noté dans les prochains rapport il vous faudra réinitialisé tripwire comme ceci :

./tripwire --init

Ce qu'il faut savoir c'est que Tripwire est assez gourmand lors des "scan" votre uptime aura vite fait de monter en flèche sur des machines tout à fait honorable... en revanche j'ai trouvé le rapport beaucoup plus complet que celui d'Osiris.

Par GanGan | le lundi, janvier 25 2010 07:00