Beyond Linux® From Scratch (Edição systemd ) - Versão 12.4

Capítulo 4. Segurança

Tripwire-2.4.3.7

Introdução ao Tripwire

O pacote Tripwire contém aplicativos usados para verificar a integridade dos arquivos em um determinado sistema.

Esse pacote é conhecido por construir e funcionar corretamente usando uma plataforma LFS 12.4.

Informação do Pacote

Dependências do Tripwire

Opcionais

Um MTA

Instalação do Tripwire

Compile Tripwire executando os seguintes comandos: 

sed -e '/^CLOBBER/s/false/true/'        \
    -e 's|TWDB="${prefix}|TWDB="/var|'   \
    -e '/TWMAN/ s|${prefix}|/usr/share|' \
    -e '/TWDOCS/s|${prefix}/doc/tripwire|/usr/share/doc/tripwire-2.4.3.7|' \
    -i installer/install.cfg                               &&

find . -name Makefile.am | xargs                           \
    sed -i 's/^[[:alpha:]_]*_HEADERS.*=/noinst_HEADERS =/' &&

sed '/dist/d' -i man/man?/Makefile.am                      &&
autoreconf -fi                                             &&

./configure --prefix=/usr --sysconfdir=/etc/tripwire       &&
make CPPFLAGS=-std=c++11
[Nota]

Nota

A configuração padrão é a de usar um MTA local. Se você não teiver um MTA instalado e não desejar instalar um, [então] modifique install/install.cfg para usar um servidor SMTP. Caso contrário, a instalação falhará.

Esse pacote não vem com uma suíte de teste.

Agora, como o(a) usuário(a) root: 

make install &&
cp -v policy/*.txt /usr/share/doc/tripwire-2.4.3.7
[Nota]

Nota

Durante o make install, várias perguntas são feitas, incluindo senhas. Se você deseja criar um script, [então] tem de aplicar um sed antes de executar make install: 

sed -i -e 's@installer/install.sh@& -n -s <senha_do_sítio> -l <senha_local>@' Makefile

Claro, você deveria fazer isso com senhas fictícias e mudá-las posteriormente.

Outro problema ao criar scripts é o de que o instalador sai quando a entrada padrão não é um terminal. Você consegue desativar esse comportamento com o seguinte sed: 

sed '/-t 0/,+3d' -i installer/install.sh

Explicações do Comando

sed ... installer/install.cfg: Esse comando informa ao pacote para instalar a base de dados do aplicativo e informa em /var/lib/tripwire e configura o local adequado para páginas de manual e documentação.

find ..., sed ... e autoreconf -fi: O sistema de construção é inutilizável como está e tem de ser modificado para que a construção tenha sucesso.

CPPFLAGS=-std=c++11: Configurar os sinalizadores do pré processador C++ para a versão 11 é necessário para evitar um conflito com a versão padrão que é c++17 na versão recente do GCC.

make install: Esse comando cria as chaves de segurança do Tripwire assim como instala os binários. Existem duas chaves: uma chave do sítio e uma chave local que são armazenadas em /etc/tripwire/.

cp -v policy/*.txt /usr/doc/tripwire-2.4.3.7: Esse comando instala os arquivos de amostra da política do tripwire com a outra documentação do tripwire.

Configurando Tripwire

Arquivos de Configuração

/etc/tripwire/*

Informação de Configuração

O Tripwire usa um arquivo de política para determinar quais arquivos são verificados quanto à integridade. O arquivo padrão da política (/etc/tripwire/twpol.txt) é para uma instalação padrão e precisará ser atualizado para seu sistema.

Os arquivos da política deveriam ser adaptados para cada distribuição e(ou) instalação individual. Alguns arquivos de exemplo da política podem ser encontrados em /usr/share/doc/tripwire/.

Se desejado, [então] copie o arquivo da política que gostaria de tentar para /etc/tripwire/ em vez de usar o arquivo padrão da política, twpol.txt. É, no entanto, recomendado que você edite seu arquivo da política. Obtenha ideias a partir dos exemplos acima e leia /usr/share/doc/tripwire/policyguide.txt para informação adicional. twpol.txt é um bom arquivo da política para aprender a respeito do Tripwire, pois ele observará quaisquer mudanças no sistema de arquivos e até mesmo pode ser usado como uma maneira irritante de manter rastreio das mudanças para desinstalação de software.

Depois que seu arquivo da política tiver sido editado para sua satisfação, você poderá iniciar as etapas de configuração (realizar como o(a) usuário(a) root): 

twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
   /etc/tripwire/twpol.txt &&
tripwire --init

Dependendo do seu sistema e do conteúdo do arquivo da política, a fase de inicialização acima pode levar um tempo relativamente longo.

Informação de Uso

O Tripwire identificará as mudanças de arquivo nos arquivos críticos do sistema especificados no arquivo da política. Usar o Tripwire enquanto se faz mudanças frequentes nesses diretórios sinalizará todas essas mudanças. É mais útil depois que um sistema tenha atingido uma configuração que o(a) usuário(a) considere estável.

Para usar o Tripwire depois de criar um arquivo da política para executar um informe, use o seguinte comando: 

tripwire --check > /etc/tripwire/report.txt

Veja a saída gerada para verificar a integridade dos seus arquivos. Um informe automático de integridade pode ser produzido usando-se um recurso cron para agendar as execuções.

Os informes são armazenados em binário e, se desejado, encriptados. Visualize os informes, como o(a) usuário(a) root, com: 

twprint --print-report -r /var/lib/tripwire/report/<nome-informe.twr>

Depois de executar uma verificação de integridade, você deveria examinar o informe (ou o correio eletrônico) e, então, modificar a base de dados do Tripwire para refletir os arquivos mudados em seu sistema. Isso é assim de forma que o Tripwire não te notificará continuamente que os arquivos que você mudou intencionalmente sejam uma violação de segurança. Para fazer isso, você precisa primeiro ls -l /var/lib/tripwire/report/ e anotar o nome do arquivo mais recente que começa com o nome do seu sistema conforme apresentado pelo comando uname -n e termina em .twr. Esses arquivos foram criados durante a criação do informe e o mais atual é necessário para atualizar a base de dados do Tripwire do seu sistema. Como o(a) usuário(a) root, digite o seguinte comando criando o nome apropriado do informe: 

tripwire --update --twrfile /var/lib/tripwire/report/<nome-informe.twr>

Você será colocado(a) no Vim com uma cópia do informe à sua frente. Se todas as mudanças estiverem boas, então apenas digite :wq e depois de inserir sua chave local, a base de dados será atualizada. Se existirem arquivos a respeito dos quais você ainda desejar ser avisado(a), [então] remova o 'x' de antes do nome do arquivo no informe e digite :wq.

Mudando o Arquivo da Política

Se você estiver insatisfeito(a) com seu arquivo da política e gostaria de modificá-lo ou de usar um novo, [então] modifique o arquivo da política e então execute os seguintes comandos como o(a) usuário(a) root: 

twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init

Conteúdo

Aplicativos Instalados: siggen, tripwire, twadmin e twprint
Bibliotecas Instaladas: Nenhum(a)
Diretórios Instalados: /etc/tripwire, /var/lib/tripwire e /usr/share/doc/tripwire-2.4.3.7

Descrições Curtas

siggen

é um utilitário de coleta de assinatura que exibe os valores da função hash para os arquivos especificados

tripwire

é o principal aplicativo de verificação de integridade de arquivo

twadmin

ferramenta administrativa e utilitária usada para realizar certas funções administrativas relacionadas a arquivos e opções de configuração do Tripwire

twprint

imprime a base de dados e arquivos de informe do Tripwire em formato de texto simples