Tripwireの構成ファイル、キー、およびデータベースを拡張機能に配置します。メディア?

Tripwireの構成ファイル、キー、およびデータベースを拡張機能に配置します。メディア?

(もともとSEのスーパーユーザーに公開されました。プラットフォームが正しくないため、SUから投稿を削除しました。)

デフォルトのフォルダとファイルの場所を使用して、Lxボックス(Ubuntu trusty)にTripwire(TM)2.4.2.2.2を設定しました。私は古いものに頼っていますが、まだ最新の状態です。記事Linux Journalと他の多くのインターネットノートでは、共通の構成以外には見つかりません。

すべてが期待どおりに機能しますが、site.keyとlocal.key、構成ファイル、およびデータベースをこの目的のためにマウントポイントに別々に保持した読み取り専用リムーバブルメディアに移動しようとしています/mnt/TW_bd-bin

誰かがtwcfg.txttwpol.txtを正しく修正するのに役立ちますか?構成をどのように変更する必要がありますか?

レポートサマリータイトル:

$ sudo tripwire --check

Open Source Tripwire(R) 2.4.2.2 Integrity Check Report
Report generated by:          root
Report created on:            Fri Sep 25 19:15:58 2015
Database last updated on:     Never
===========================================================
Report Summary:
===========================================================
Host name:                    my_host
Host IP address:              127.0.1.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/my_host.twd
Command line used:            tripwire --check 

現在 /etc/tripwire/twcfg.txt:

$ cat /etc/tripwire/twcfg.txt

ROOT          =/usr/sbin
POLFILE       =/etc/tripwire/tw.pol
# DBFILE        =/var/lib/tripwire/$(HOSTNAME).twd
DBFILE        =/mnt/TW_db-bin/$(HOSTNAME).twd
# REPORTFILE    =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
REPORTFILE    =/etc/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE   =/etc/tripwire/site.key
LOCALKEYFILE  =/etc/tripwire/$(HOSTNAME)-local.key
# /usr/bin/editor is set to vim.gnome as of 2015.09.24
EDITOR        =/usr/bin/editor
# LATEPROMPTING =false
LATEPROMPTING =true 
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL   =3
SYSLOGREPORTING =true
MAILMETHOD    =SMTP           # see PostFix settings
SMTPHOST      =smtp.gmail.com
# SMTPHOST      =localhost
SMTPPORT      =587            # SSL/TLS
# SMTPPORT      =25
#TEMPDIRECTORY =/tmp 
# chmod for /etc/tripwire/tmp is 700 and chown is root:root
TEMPDIRECTORY =/etc/tripwire/tmp 

答え1

タスクソリューションはUbuntu 14.04.3でテストされていますが、他のDebianベースのLinuxバージョンでも動作でき、最も確実にRed Hatでも動作できます。
まだテストしていないプラットフォームに適用するのに満足している場合は、これに関する簡単なコメントを追加してください。
上記の「おそらく」は、Web上のレポートにRH Linuxで同じステップが表示されることを意味し、Lubuntuでも同様です。お気に入りのリポジトリから
一般パッケージのインストールが完了すると、手順が開始されます。tripwire

参考資料:
TRIPWIRE(8)とTWADMIN(8)のマニュアルページ公式 Red Hat Linux リファレンスガイド、これLinuxセキュリティガイド

$ uname -sivr
Linux 3.16.0-50-generic #67~14.04.1-Ubuntu SMP [...] x86_64
$ tripwire --version | head -1
Open Source Tripwire(R) 2.4.2.2.2 built for x86_64-unknown-linux-gnu

このディレクトリはパッケージがインストールされた後に/etc/tripwire/システムに作成されます。これには少なくとも2つの基本ファイル(twcfg.txtおよび)が含まれます。また、twpol.txt適切なパスワードを選択してインストール中に生成することを選択した場合は、ローカルキー(${HOSTNAME}-local.keyまたは1つのみ)local.keyとサイトキー()を含めることができます。site.key

最初ローカルおよびサイトキー、構成およびポリシーファイル、レポート、およびデータベースファイルの新しい場所を選択します。/etc/tripwire/マウントポイントで、デフォルトのマウント位置をマウント可能なデバイスに変更することにしたとします/mnt/TW-mount/

$ sudo mkdir -p /mnt/TW-mount
$ sudo mount /dev/sdZZ /mnt/TW-mount && sudo mkdir -p /mnt/TW-mount/report
$ sudo mv /etc/tripwire/*.{txt,key} /mnt/TW-mount/

sdZZ上記のインストール手順を正しいデバイス情報に置き換えてください。
新しい場所を選択するとき、一般的なDebianベースのLinuxデスクトップのTWデータベースは1.5〜4 MBのスペースを占めることに注意してください。また、各実行および累積ごとにTWレポートが生成されます。彼らはあなたのために自分でよく回転し始めると期待しないでください。小さいがそれぞれ10kB未満(後ろにポリシーファイルはシステム構成に合わせて適切に変更されました。)これらの累積レポートには、最終的に数ヶ月間の毎日のTW検証後に循環またはクリーンアップ形式の介入が必要です。

第二/etc/tripwire/twcfg.txt次のように修正します。
(デフォルト設定はコメントアウトされています。新しい設定はすぐ下に配置されます。関連する行はPOLFILEからLOCALKEYFILEに展開されます。その他のフラグとグローバル変数の値はユーザーの値と異なる場合があります。)

# /etc/tripwire/twcfg.txt --> moved to: /mnt/TW-mount/twcfg.txt
ROOT          =/usr/sbin
# POLFILE       =/etc/tripwire/tw.pol
POLFILE       =/mnt/TW-mount/tw.pol
# DBFILE        =/var/lib/tripwire/$(HOSTNAME).twd
DBFILE        =/mnt/TW-mount/$(HOSTNAME).twd
# REPORTFILE    =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
REPORTFILE    =/mnt/TW-mount/report/$(HOSTNAME)-$(DATE).twr
# SITEKEYFILE   =/etc/tripwire/site.key
SITEKEYFILE   =/mnt/TW-mount/site.key
# LOCALKEYFILE  =/etc/tripwire/$(HOSTNAME)-local.key
LOCALKEYFILE  =/mnt/TW-mount/$(HOSTNAME)-local.key
# /usr/bin/editor points to vim.gnome -- check yr own symlink
EDITOR        =/usr/bin/editor
# LATEPROMPTING =false
LATEPROMPTING =true 
# LOOSEDIRECTORYCHECKING =false
LOOSEDIRECTORYCHECKING =true
# MAILNOVIOLATIONS =true
MAILNOVIOLATIONS =false
EMAILREPORTLEVEL =3
REPORTLEVEL   =3
SYSLOGREPORTING =false
MAILMETHOD    =SMTP
# SMTPHOST      =localhost
SMTPHOST      =smtp.gmail.com
# SMTPPORT      =25
 SMTPPORT      =587
TEMPDIRECTORY =/tmp

第三/mnt/TW-mount/twpol.txtこれは上記で設定したいくつかのパスを実際に上書きし、それを変更する必要があります。(該当行のみ表示されます。)

# Standard Debian Tripwire configuration - twpol.txt
# ....
# Global Variable Definitions
#
@@section GLOBAL
TWBIN = /usr/sbin;
# TWETC = /etc/tripwire;
TWETC = /mnt/TW-mount;
# TWVAR = /var/lib/tripwire;
TWVAR = /mnt/TW-mount;

第四、すでにキーファイルを作成している場合はセクション5にスキップし、そうでない場合は今すぐ実行してください。

$ sudo twadmin -m G -S /mnt/TW-mount/site.key   # to create yr site key
$ sudo twadmin -m G -L /mnt/TW-mount/${HOSTNAME}-local.key   # to create yr local key

、構成ファイルとポリシーファイルの作成と署名: tw.cfgtw.pol場所/mnt/TW-mount/

$ cd /mnt/TW-mount
$ sudo twadmin -m F -c /mnt/TW-mount/tw.cfg -S site.key twcfg.txt
$ sudo twadmin -m P -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key twpol.txt

メモ:tw.cfg上記の設定ファイルは絶対パスとして参照されます。そうでない場合、twadmin実際にはデフォルトの場所に作成され、/etc/tripwire/同じデフォルトの場所とも呼ばれます。これはtw.pol*.keyファイルなどの他の関連ファイルに影響を与えないハードコードされたエラーかもしれません*.tw{d,r}。ソースコードを変更するには、次のものが含まれます。sed 所定の位置にコンパイル前の文字列操作。すでにパッケージ化されたリソースで作業することを選択しましたが、取得できませんでした。

六度音程、データベースの作成または「初期化:

$ sudo tripwire -m i -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key -L ${HOSTNAME}-local.key

(対話型)チェックを先に実行します。

$ sudo tripwire -m c -c /mnt/TW-mount/tw.cfg -I

通常、(対話型)チェックは次のように実行されます。sudo tripwire -m c -Iここで-Iフラグは対話型を保証します。 Tripwireリソースのデフォルトの場所を変更し、上記のバグのために使用する署名プロファイルの場所を常に宣言する必要があります。これには短いオプションを使用できます-c /mnt/TW-mount/tw.cfg。省略すると、基本位置動作が行われる。

$ sudo tripwire -m c -I
### Error: File could not be opened.
### Filename: /etc/tripwire/tw.cfg
### No such file or directory
### Configuration file could not be read.
### Exiting...
$

最後、開封前:

$ sudo rm -i /mnt/TW-mount/*txt
$ sudo chmod 600 /mnt/TW-mount/*.key
$ sudo umount /mnt/TW-mount && sudo mount /dev/sdZZ /mnt/TW-mount -o ro,nouser,...

HTH。

関連情報