(もともとSEのスーパーユーザーに公開されました。プラットフォームが正しくないため、SUから投稿を削除しました。)
デフォルトのフォルダとファイルの場所を使用して、Lxボックス(Ubuntu trusty)にTripwire(TM)2.4.2.2.2を設定しました。私は古いものに頼っていますが、まだ最新の状態です。記事Linux Journalと他の多くのインターネットノートでは、共通の構成以外には見つかりません。
すべてが期待どおりに機能しますが、site.keyとlocal.key、構成ファイル、およびデータベースをこの目的のためにマウントポイントに別々に保持した読み取り専用リムーバブルメディアに移動しようとしています/mnt/TW_bd-bin
。
誰かがtwcfg.txt
twpol.txtを正しく修正するのに役立ちますか?構成をどのように変更する必要がありますか?
レポートサマリータイトル:
$ sudo tripwire --check
Open Source Tripwire(R) 2.4.2.2 Integrity Check Report
Report generated by: root
Report created on: Fri Sep 25 19:15:58 2015
Database last updated on: Never
===========================================================
Report Summary:
===========================================================
Host name: my_host
Host IP address: 127.0.1.1
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/my_host.twd
Command line used: tripwire --check
現在 /etc/tripwire/twcfg.txt:
$ cat /etc/tripwire/twcfg.txt
ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
# DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
DBFILE =/mnt/TW_db-bin/$(HOSTNAME).twd
# REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
REPORTFILE =/etc/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
# /usr/bin/editor is set to vim.gnome as of 2015.09.24
EDITOR =/usr/bin/editor
# LATEPROMPTING =false
LATEPROMPTING =true
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =true
MAILMETHOD =SMTP # see PostFix settings
SMTPHOST =smtp.gmail.com
# SMTPHOST =localhost
SMTPPORT =587 # SSL/TLS
# SMTPPORT =25
#TEMPDIRECTORY =/tmp
# chmod for /etc/tripwire/tmp is 700 and chown is root:root
TEMPDIRECTORY =/etc/tripwire/tmp
答え1
タスクソリューションはUbuntu 14.04.3でテストされていますが、他のDebianベースのLinuxバージョンでも動作でき、最も確実にRed Hatでも動作できます。
まだテストしていないプラットフォームに適用するのに満足している場合は、これに関する簡単なコメントを追加してください。
上記の「おそらく」は、Web上のレポートにRH Linuxで同じステップが表示されることを意味し、Lubuntuでも同様です。お気に入りのリポジトリから
一般パッケージのインストールが完了すると、手順が開始されます。tripwire
参考資料:
TRIPWIRE(8)とTWADMIN(8)のマニュアルページ公式 Red Hat Linux リファレンスガイド、これLinuxセキュリティガイド。
$ uname -sivr
Linux 3.16.0-50-generic #67~14.04.1-Ubuntu SMP [...] x86_64
$ tripwire --version | head -1
Open Source Tripwire(R) 2.4.2.2.2 built for x86_64-unknown-linux-gnu
このディレクトリはパッケージがインストールされた後に/etc/tripwire/
システムに作成されます。これには少なくとも2つの基本ファイル(twcfg.txt
および)が含まれます。また、twpol.txt
適切なパスワードを選択してインストール中に生成することを選択した場合は、ローカルキー(${HOSTNAME}-local.key
または1つのみ)local.key
とサイトキー()を含めることができます。site.key
最初ローカルおよびサイトキー、構成およびポリシーファイル、レポート、およびデータベースファイルの新しい場所を選択します。/etc/tripwire/
マウントポイントで、デフォルトのマウント位置をマウント可能なデバイスに変更することにしたとします/mnt/TW-mount/
。
$ sudo mkdir -p /mnt/TW-mount
$ sudo mount /dev/sdZZ /mnt/TW-mount && sudo mkdir -p /mnt/TW-mount/report
$ sudo mv /etc/tripwire/*.{txt,key} /mnt/TW-mount/
sdZZ
上記のインストール手順を正しいデバイス情報に置き換えてください。
新しい場所を選択するとき、一般的なDebianベースのLinuxデスクトップのTWデータベースは1.5〜4 MBのスペースを占めることに注意してください。また、各実行および累積ごとにTWレポートが生成されます。彼らはあなたのために自分でよく回転し始めると期待しないでください。小さいがそれぞれ10kB未満(後ろにポリシーファイルはシステム構成に合わせて適切に変更されました。)これらの累積レポートには、最終的に数ヶ月間の毎日のTW検証後に循環またはクリーンアップ形式の介入が必要です。
第二、/etc/tripwire/twcfg.txt
次のように修正します。
(デフォルト設定はコメントアウトされています。新しい設定はすぐ下に配置されます。関連する行はPOLFILEからLOCALKEYFILEに展開されます。その他のフラグとグローバル変数の値はユーザーの値と異なる場合があります。)
# /etc/tripwire/twcfg.txt --> moved to: /mnt/TW-mount/twcfg.txt
ROOT =/usr/sbin
# POLFILE =/etc/tripwire/tw.pol
POLFILE =/mnt/TW-mount/tw.pol
# DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
DBFILE =/mnt/TW-mount/$(HOSTNAME).twd
# REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
REPORTFILE =/mnt/TW-mount/report/$(HOSTNAME)-$(DATE).twr
# SITEKEYFILE =/etc/tripwire/site.key
SITEKEYFILE =/mnt/TW-mount/site.key
# LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
LOCALKEYFILE =/mnt/TW-mount/$(HOSTNAME)-local.key
# /usr/bin/editor points to vim.gnome -- check yr own symlink
EDITOR =/usr/bin/editor
# LATEPROMPTING =false
LATEPROMPTING =true
# LOOSEDIRECTORYCHECKING =false
LOOSEDIRECTORYCHECKING =true
# MAILNOVIOLATIONS =true
MAILNOVIOLATIONS =false
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =false
MAILMETHOD =SMTP
# SMTPHOST =localhost
SMTPHOST =smtp.gmail.com
# SMTPPORT =25
SMTPPORT =587
TEMPDIRECTORY =/tmp
第三、/mnt/TW-mount/twpol.txt
これは上記で設定したいくつかのパスを実際に上書きし、それを変更する必要があります。(該当行のみ表示されます。)
# Standard Debian Tripwire configuration - twpol.txt
# ....
# Global Variable Definitions
#
@@section GLOBAL
TWBIN = /usr/sbin;
# TWETC = /etc/tripwire;
TWETC = /mnt/TW-mount;
# TWVAR = /var/lib/tripwire;
TWVAR = /mnt/TW-mount;
第四、すでにキーファイルを作成している場合はセクション5にスキップし、そうでない場合は今すぐ実行してください。
$ sudo twadmin -m G -S /mnt/TW-mount/site.key # to create yr site key
$ sudo twadmin -m G -L /mnt/TW-mount/${HOSTNAME}-local.key # to create yr local key
五、構成ファイルとポリシーファイルの作成と署名: tw.cfg
、tw.pol
場所/mnt/TW-mount/
:
$ cd /mnt/TW-mount
$ sudo twadmin -m F -c /mnt/TW-mount/tw.cfg -S site.key twcfg.txt
$ sudo twadmin -m P -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key twpol.txt
メモ:tw.cfg
上記の設定ファイルは絶対パスとして参照されます。そうでない場合、twadmin
実際にはデフォルトの場所に作成され、/etc/tripwire/
同じデフォルトの場所とも呼ばれます。これはtw.pol
、*.key
ファイルなどの他の関連ファイルに影響を与えないハードコードされたエラーかもしれません*.tw{d,r}
。ソースコードを変更するには、次のものが含まれます。sed
所定の位置にコンパイル前の文字列操作。すでにパッケージ化されたリソースで作業することを選択しましたが、取得できませんでした。
六度音程、データベースの作成または「初期化:
$ sudo tripwire -m i -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key -L ${HOSTNAME}-local.key
(対話型)チェックを先に実行します。
$ sudo tripwire -m c -c /mnt/TW-mount/tw.cfg -I
通常、(対話型)チェックは次のように実行されます。sudo tripwire -m c -I
ここで-I
フラグは対話型を保証します。 Tripwireリソースのデフォルトの場所を変更し、上記のバグのために使用する署名プロファイルの場所を常に宣言する必要があります。これには短いオプションを使用できます-c /mnt/TW-mount/tw.cfg
。省略すると、基本位置動作が行われる。
$ sudo tripwire -m c -I
### Error: File could not be opened.
### Filename: /etc/tripwire/tw.cfg
### No such file or directory
### Configuration file could not be read.
### Exiting...
$
最後、開封前:
$ sudo rm -i /mnt/TW-mount/*txt
$ sudo chmod 600 /mnt/TW-mount/*.key
$ sudo umount /mnt/TW-mount && sudo mount /dev/sdZZ /mnt/TW-mount -o ro,nouser,...
HTH。