tripwire unter Debian bzw. Ubuntu installieren
Mit tripwire kann man das Dateisystem eines Servers nach veränderten Dateien überwachen. Zuerst installieren wir tripwire aus den Debian Paketquellen. Dabei wird nach ein Passwort für tripwire gefragt. Dann sichern wir uns die Original twpol.txt und ändern dann die Policy darin.
root:~# apt-get install tripwire
root:~# cp /etc/tripwire/twpol.txt /etc/tripwire/twpol.txt.dist
Dies ist eine minimale Konfiguration. Mann kann auch die originale Konfiguration nehmen und entsprechend anpassen.
root:~# vi /etc/tripwire/twpol.txt
# Tripwire Policy File
#
!/etc/mtab ;
!/etc/apache2 ;
/etc -> +ugisMS (emailto="postmaster@example.com");
/bin -> +ugisMS (emailto="postmaster@example.com");
/sbin -> +ugisMS (emailto="postmaster@example.com");
/usr -> +ugisMS (emailto="postmaster@example.com");
Ich habe ein Wrapper Script für das Verwalten von tripwire geschrieben, welches wir uns hier herunter laden können. Dieses Wrapper Script kopieren wir uns dann nach /usr/local/sbin/twctl.
root:~# wget https://docs.tuxnet24.de/others/.data/twctl -O /usr/local/sbin/twctl
root:~# chmod 700 /usr/local/sbin/twctl
Unter /etc/cron.daily/tripwire ist ein täglicher Chronjob, der das System auf veränderte Dateien prüft. Man kann diese ob so belassen oder man kann mein Skript tripwire.sh nutzen und dieses statdessen ausführe.
In diesem Fall ändern wie die Datei /etc/cron.daily/tripwire wie folgt.
#!/bin/sh -e
tripwire=/usr/local/sbin/tripwire.sh
$tripwire >/dev/null 2>&1
Um die Änderungen an der twcfg.txt zu aktualisieren, führen wir folgenden Befehl aus.
root:~# twctl config
Um die Änderungen an der twpol.txt zu aktualisieren, führen wir folgenden Befehl aus.
root:~# twctl policy
Um unser Dateisystem zu initialisieren führen wir twctl init aus. Diese Befehl muss jedes mal von root ausgeführt werden, wenn Änderungen an den zu überwachenden Verzeichnissen durchgeführt werden (z.B. nach ein Update der Debian Pakete).
root:~# twctl init