Tripwire – Stolperdraht für Einbrecher

tripwire hacker

Tripwire ist ein Host Intrusion Detection System aus dem Open Source Umfeld.

Das Programm erstellt eine Momentaufnahme vom Dateisystem an Hand von selbst erzeugten Richtlinien (Policies). Die Richtlinien können bestimmte Eigenschaften von Dateien wie z.B. Größe, Besitzer, Zugriffsrechte, Alter und viele weitere Eigenschaften aufzeichnen und quasi als Snapshot in einer Datenbank speichern. Später kann Tripwire dann den aktuellen Dateisystem-zustand gegen den in der Datenbank gespeicherten Grundzustand prüfen und den Administrator per Mail über eventuelle Veränderungen im System informieren.

Die Konfigurationsdateien sowie die Datenbank von Tripwire werden aus Sicherheitsgründen in ein binäres Format umgewandelt und mit einem Key signiert. Für die Konfigurationsdateien wird ein Site-Key und für die Datenbank ein Host-local Key verwendet. Beide Schlüssel sind mit einer Passphrase geschützt. Die konfigurationsdateien twcfg.txt und twpol.txt sollten nacj der Erzeugung der binären Version verschoben werden.

Die Installation erfolgt auf meinem Debian bequem mit

1
apt-get install tripwire

Die Konfiguration

Nach der Installation entsteht das Konfigurationsverzeichnis in

1
/etc/tripwire/
1
less /etc/tripwire/twcfg.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
//Binärdatei der erstellten RichtlinienDBFILE =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR =/usr/sbin/vi
//der vi wird als Editor benutzt
GLOBALEMAIL =meine E Mail Adresse
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =false
//Es wird nur eine Mail generiert wenn etwas nicht in Ordnung ist
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =true
MAILMETHOD =SMTP
SMTPHOST =localhost
SMTPPORT =25
TEMPDIRECTORY =/tmp

Die Richtlinien definieren.

Dies erfolgt in der twpol.txt Datei.
Ein Beispiel. Das Home Verzeichnis vom Benutzer test darf nur wachsen.

1
/home/test -> $(Growing);

Growing ist hier eine vordefinierte Variable.
Die Umwandlung der Konfigurationsdatei in eine Binärdatei erfolgt mit dem Befehl.

1
twadmin --create-cfgfile -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

Die Umwandlung der Richtliniendatei in eine Binärdatei erfolgt mit dem Befehl.

1
twadmin --create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

Die Datenbank wird mit dem Befehl

1
tripwire --init

erzeugt.

Danach kann der aktuelle Systemzustand mit den Informationen in der Tripwire Datenbank verglichen werden und per Mail versendet werden.

1
/usr/sbin/tripwire --check –M

Mit dem Schalter M wird die Mail generiert. Sollen bewusste Änderungen von Tripwire nicht mehr als Violations reportet werden, dann kann man die Datenbank mit Hilfe des erstellten Reports updaten.

1
tripwire --update -r /var/lib/tripwire/report/%HOST-DATUM%.twr

Schreibe einen Kommentar

Your email address will not be published.

Ich bei Twitter