- ¿Para qué sirve Tripwire?
- Configuración de Tripwire
- Definir las claves de Tripwire
- Configurar el archivo twcfg.txt
- Variables de configuración obligatoria
- Variables de configuración opcional
- Configurar el archivo de políticas
- Especificación de las reglas
- La sintaxis de las reglas normales
- La sintaxis de las reglas de parada
- Atributos
- Especificación de las directivas
- Especificación de las variables
- Instalar el archivo de políticas
- Construir la base de datos de Tripwire
- Verificación del Sistema de Archivos
- Comprobación de los informes y base de datos de Tripwire
- Eliminación de archivos de texto
- Configuración permanente de Tripwire
- ¿Para qué sirve Tripwire?
Mejora la seguridad de nuestro sistema asegurando la integridad de los archivos y directorios más críticos. Tripwire identifica los cambios realizados en los mismos e informa de los cambios detectados al administrador o persona a informar mediante correo electrónico.Partiendo de la premisa de que no existen sistemas invulnerables, la exposición a ataques de nuestros sistemas es inevitable. Todas las medidas preventivas que tomemos como el uso de firewalls, patches, políticas, etc, no garantizan que en algún momento podamos ser atacados por un hacker y que este tenga exito en el ataque, alterando o reemplazando archivos de nuestro sistema para poder tomar el control del mismo.
Parte del arte de los atacantes consiste en no ser descubiertos y Tripwire servirá para alertar al administrador de estos cambios y así actuar en consecuencia.
Tripwire, según wikipedia, es un programa de ordenador basado en Open Source consistente en una herramienta de seguridad e integridad de datos. Es útil para monitorizar y alertar de cambios en los ficheros de un sistema de ficheros. Funciona cotejando la firma digital de archivos y directorios contra una base de datos de los mismos (denominada base de datos de fundamentos) en un instante previo. La base de datos se genera tomando una instantánea en el momento de su instalación y se accede a ella mediante contraseña cifrada, por lo que su instalación en un sistema posiblemente infectado, carecería de efectividad y se recomienda que su instalación y configuración sea hecha antes de haber conectado el computador por primera vez a internet. Funciona en sistemas operativos GNU/Linux.
- Configuración de Tripwire
Definir las claves de Tripwire Ir al índice
Tripwire utiliza dos claves para encriptar la información que almacena. Una de ellas, la site key o clave del sitio, se emplea para encriptar los archivos de configuración y de las políticas. La otra, la local key o clave local, se usa para encriptar la información referida al estado de los archivos del sistema que se monitorean.La encriptación de los archivos anteriores es necesaria para proteger a tripwire de intrusos, pues aunque un intruso logrará acceder al sistema como usuario root, si no conoce las contraseñas anteriores, no pude modificar los archivos de tripwire y alterar su configuración, con el propósito de ocultar sus acciones sobre el sistema.
Para tareas de administración de Tripwire, son necesarias estas dos claves. Estas se deben introducir tan pronto como se ha instalado Tripwire mediante la orden:
# /etc/tripwire/twinstall.sh
Configurar el archivo twcfg.txt Ir al índice
El archivotwcfg.txt
contiene dos tipos de variables, las de configuración obligatoria en las que obligatoriamente hay que especificar el valor deseado, pues en caso de no especificar valores en alguna de estas variables, Tripwire mostrará un mensaje de error y terminará su ejecución, y las de configuración optativa, en las que no es necesario especificar su valor, pudiendo tomar valores por defecto.Variables de configuración obligatoria son: Ir al índice
- ROOT: Contiene el directorio donde se encuentran los ejecutables de Tripwire. Por defecto su valor es /usr/sbin.
- POLFILE: Contiene la ubicación del archivo de políticas. Su valor por defecto es /etc/tripwire/tw.pol.
- DBFILE: Indica la localización del archivo de la base de datos. Su valor por defecto es /var/lib/tripwire/$(HOSTNAME).twd.
- REPORTFILE: Contiene la ubicación de los archivos de informes. Su valor por defecto es /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.
- SITEKEYFILE: Especifica la localización del archivo de la llave del sitio. Su valor por defecto es /etc/tripwire/site.key.
- LOCALKEYFILE: Especifica la ubicación del archivo de la llave local. Su valor por defecto es /etc/tripwire/$(HOSTNAME)-local.key.
Variables cuya configuración es opcional son: Ir al índice
- EDITOR: Indica el editor de texto que ejecutará Tripwire. Su valor por defecto /bin/vi.
- LATEPROMPTING: Puede tomar los valores true ó false tomando por defecto el valor false. Indica a Tripwire que espere tanto como sea posible antes de preguntar una contraseña al usuario, minimizando el tiempo que la contraseña permanece en la memoria del ordenador.
- LOOSEDIRECTORYCHECKING: Puede tomar los valores true ó false, siendo el valor por defecto false. Configura Tripwire para que informe sobre los cambios que se han realizado en un archivo de un directorio y no sobre los cambios propios del directorio, reduciendo la redundancia en los informes generados.
- SYSLOGREPORTING: Toma los valores true ó false, e indica a Tripwire que informe al demonio de syslog de los cambios. El valor por defecto es false.
- MAILNOVIOLATIONS: Puede tomar los valores true ó false e indica a Tripwire que mande un correo electrónico de forma periódica aún en el caso de que no se haya producido ninguna intrusión en el sistema. El valor por defecto es true.
- EMAILREPORTLEVEL: Indica el nivel de detalle para los informes enviados por correo electrónico. Los valores válidos son de 0 a 4, siendo el valor por defecto de 3.
- REPORTLEVEL: Indica el nivel de detalle para los informes generado por el comando twprint2. Sus valores válidos son de 0 a 4 y su valor predeterminado es 3.
- MAILMETHOD: Especifica el protocolo de correo que usará Tripwire. Los valores válidos son SMTP ó SENDMAIL, siendo SENDMAIL el valor por defecto.
- MAILPROGRAM: Especifica que programa de correo usará Tripwire. El valor por defecto es /usr/sbin/sendmail –oi –t.
Un ejemplo de archivo de configuración sería el siguiente:
ROOT =/usr/sbin POLFILE =/etc/tripwire/tw.pol DBFILE =/var/lib/tripwire/$(HOSTNAME).twd REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr SITEKEYFILE =/etc/tripwire/site.key LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key EDITOR =/bin/vi LATEPROMPTING =false LOOSEDIRECTORYCHECKING =false MAILNOVIOLATIONS =true EMAILREPORTLEVEL =3 REPORTLEVEL =3 MAILMETHOD =SENDMAIL SYSLOGREPORTING =false MAILPROGRAM =/usr/sbin/sendmail -oi -t
Si modificamos el archivo de configuración
twcfg.txt
tendremos que regenerar el archivo de configuración cifrado tw.cfg del siguiente modo:# twadmin -m F > /etc/tripwire/twcfg.txt
Configurar el archivo de políticas Ir al índice
La política sobre los archivos y directorios que van a ser supervisados por Tripwire se mantiene en un archivo conocido como policy file o archivo de políticas. En este archivo se indica que datos de los mismos son almacenados en la base de datos y la severidad del chequeo que realizará Tripwire sobre cada archivo o directorio. Además, permite activar el envío de correo electrónico si la integridad del sistema ha sido alterada.Tripwire viene con un archivo que sirve de plantilla para ser modificado. Este archivo es: /etc/tripwire/twpol.txt. En este archivo indicaremos todo lo que pretendemos supervisar.
twpol.txt está formado por cuatro tipos de elementos: Comentarios, reglas, directivas y variables.
- Los comentarios son todo el texto que se encuentra en una línea detrás del carácter # y hasta el final de la misma.
- Las reglas determinan como y con que severidad Tripwire chequeará los ficheros y directorios. Existen dos tipos de reglas:
- Reglas normales: definen que propiedades de un fichero o directorio serán analizadas.
- Reglas de parada: son utilizadas para especificar ficheros o directorios donde Tripwire no debe analizar.
- Las directivas son un conjunto pequeño de órdenes que permiten condicionar la interpretación de la política de Tripwire, así como ciertos diagnósticos y operaciones de depuración.
- Las variables permiten al usuario definir cadenas de texto para su sustitución en el fichero.
Especificación de las reglas
La sintaxis de las reglas normales: Ir al índicenombre_del_objeto -> mascara_de_propiedades;
Donde nombre_del_objeto es el camino completo del fichero o directorio, no permitiéndose el uso de variables de ambiente, pero si de variables de Tripwire, como todo o parte del camino, y mascara_de_propiedades especifica que propiedades del objeto serán examinadas o ignoradas. Si el objeto especificado es un directorio, el directorio y todos sus descendientes, tanto ficheros como directorios, son analizados de acuerdo a la mascara indicada. Si por el contrario el objeto es un fichero, solo ese fichero es analizado de acuerdo a la máscara indicada.
A cada objeto solo puede asociársele una única máscara, de forma que si un objeto tiene asociada más de una máscara se produce un error y Tripwire no realiza el análisis de ningún fichero o directorio.
La máscara de propiedades está formada por una serie de caracteres que pueden ir precedidos de un signo + ó –. Cada carácter indica una propiedad particular que Tripwire debe examinar durante la comprobación de integridad. Si el carácter es precedido del signo +, la propiedad es comprobada, ignorándose si va precedida del signo –. En caso de que no se preceda la propiedad de un signo + ó –, se supone que va precedida del signo +.La siguiente tabla muestra los caracteres que pueden ser utilizados en la especificación de las propiedades a comprobar o ignorar:
Carácter Propiedad a comprobar o ignorar a Fecha y hora de acceso. b Número de bloque utilizados. c Fecha y hora de creación o modificación de los inódos. d Identificador del dispositivo donde los inodos seencuentran. g Identificador del grupo del fichero. i Número de inodos. l El fichero ha aumentado su tamaño. m Fecha y hora de modificación. n Número de enlaces (contador de referencias del inodo). p Permisos y bits de modo del fichero. r Identificador del dispositivo apuntado por el inodo (valido solo para objetos que se refieran a un dispositivo). s Tamaño del fichero. t Tipo de fichero. u Identificador del dueño del fichero. C Valor hash del CRC-32 del fichero. H Valor hash de Haval (firma de 128 bits) del fichero. M Valor hash del MD5 del fichero. S Valor hash del SHA del fichero. La sintaxis de las reglas de parada: Ir al índice
! nombre_del_objeto;
Donde nombre_del_objeto es el camino completo del fichero o directorio, no permitiéndose el uso de variables de ambiente, pero si de variables de Tripwire.
Además, las reglas anteriores pueden tener atributos que modifican su comportamiento o proporcionan información adicional. A cada regla se le pueden aplicar todos los atributos que se deseen, siendo los atributos no sensitivos al contexto.
La sintaxis de los atributos de las reglas se puede especificar para una regla con la siguiente sintaxis:nombre_del_objeto -> mascara_de_propiedades (atributo_de_la_regla = valor);
O para un grupo de reglas mediante la sintaxis:
(lista de atributos) { lista de reglas; }
Tripwire posee cuatro atributos para las reglas, estos atributos son:
- rulename, que asocia la regla o conjunto de reglas con un nombre específico, de forma que en el fichero de información este nombre es asociado a las violaciones de las reglas especificadas. Esta propiedad suele usarse para facilitar la búsqueda de determinadas violaciones de seguridad, pues permite realizar una búsqueda u ordenación para obtener todas las violaciones de seguridad asociadas a esta regla o conjunto de reglas.
- emailto, que asocia una o más direcciones de correo electrónico con una regla o conjunto de reglas, de forma que si una regla es ejecutada con la opción
--email-report
y es violada, es enviado un correo electrónico a todas las direcciones de correo especificadas. - severity, que asocia un nivel numérico de severidad con una regla, de forma que cuando Tripwire se ejecuta en el modo de chequeo de integridad, es posible indicarle que solo las reglas cuyo nivel de severidad sea mayor que un valor especificado sean utilizadas. El valor por defecto es 0 y los valores pueden ir desde 0 hasta 1.000.000.
- recurse, que especifica como debe analizar una regla un directorio. Los valores validos son true, false ó un valor númerico entre -1 y 1.000.000. Si el valor es true ó -1, el directorio y todos sus ficheros y subdirectorios son analizados. Si el valor es false ó 0, el directorio es analizado, pero sus ficheros y subdirectorios no son analizados. Por último, si el valor es N, mayor que 0, el directorio y sus subdirectorios son analizados hasta una profundidad de N niveles. El valor por defecto es true. Este atributo no puede aplicarse a los ficheros.
Especificación de las directivas Ir al índice
Tripwire soporta un pequeño número de directivas que permiten una interpretación condicional del fichero con la política de reglas y unas ciertas operaciones de diagnóstico y depuración. Las sintaxis de las directivas es la siguiente:@@nombre_de_la_directiva [argumentos]
Donde nombre_de_la_directiva es uno de los siguientes valores:
- section: Permite designar una sección del fichero de políticas que son específicas de un sistema operativo. Los valores posibles para los argumentos son FS, NTFS, NTREG y GLOBAL, asumiéndose el valor FS por defecto si no se especifica en una sección. El valor GLOBAL se utiliza para indicar variables utilizadas, mientras que el valor FS se utiliza para indicar las propiedades que se utilizarán. Los valores NTFS y NTREG son utilizados por los sistemas Windows NT, 2000 y XP.
- ifhost…else…endif: Permiten una interpretación condicional del fichero de las reglas de política. Esta directiva permite utilizar como argumentos el nombre de un ordenador o de varios ordenadores separados por || (OR lógico).
- print: Es utilizada para diagnostico y depuración. Imprime un texto en la salida estándar.
- error: Es similar a la anterior, solo que además de escribir un texto en la salida estándar detiene la ejecución del programa con un código de retorno distinto de cero.
- end: Indica el final del fichero de políticas. Cualquier texto que aparezca después de la directiva end es ignorado por tripwire.
Especificación de las variables Ir al índice
Las variables son permitidas por tripwire para comodidad de los usuarios. Las variables pueden ser definidas en cualquier lugar entre las reglas. Su sintaxis es:variable = valor;
El uso de la variable es legal en cualquier lugar donde una cadena de caracteres pueda aparecer. Su sintaxis es:
$(variable)
Tripwire posee un número predefinido de variables cuyo valor no puede ser modificado. Estas variables representan diferentes maneras en que los ficheros y directorios pueden ser analizados. Estas variables predefinidas son:
Variable Descripción Valor ReadOnly Ficheros que son disponibles a todo el mundo pero solo para lectura +pinugtsdbmCM-rlacSH Dynamic Directorios y ficheros que cambian de forma dinámica. +pinugtd-srlbamcCMSH Growing Ficheros que deben solo incrementar su tamaño. +pinugtdl-srbamcCMSH Device Dispositivos u otros ficheros que tripwire no puede abrir. +pugsdr-intlbamcCMSH IgnoreAll Comprueba la presencia o ausencia de un fichero, pero no chequea ninguna propiedad. -pinugtsdrlbamcCMSH IgnoreNone Activa todas las propiedades que es posible comprobar. +pinugtsdrbamcCMSH-l Ejemplo de fichero de configuración de políticas de Tripwire:
@@section GLOBAL TWROOT=/usr/sbin; TWBIN=/usr/sbin; TWPOL="/etc/tripwire"; TWDB="/var/lib/tripwire"; TWSKEY="/etc/tripwire"; TWLKEY="/etc/tripwire"; TWREPORT="/var/lib/tripwire/report"; HOSTNAME=glup; @@section FS SEC_CRIT = $(IgnoreNone)-SHa ; SEC_SUID = $(IgnoreNone)-SHa ; SEC_BIN = $(ReadOnly) ; SEC_CONFIG = $(Dynamic) ; SEC_LOG = $(Growing) ; SEC_INVARIANT = +tpug ; SIG_LOW = 33 ; SIG_MED = 66 ; SIG_HI = 100 ; # Tripwire Binaries ( rulename = "Tripwire Binaries", severity = $(SIG_HI) ){ $(TWBIN)/siggen -> $(SEC_BIN) ; $(TWBIN)/tripwire -> $(SEC_BIN) ; $(TWBIN)/twadmin -> $(SEC_BIN) ; $(TWBIN)/twprint -> $(SEC_BIN) ; } ...
Instalar el archivo de políticas Ir al índice
Cuando el archivo de políticas está configurado, es decir, contiene todo lo que pretendemos monitorizar, el paso siguiente es instalarlo. Tripwire usa una versión compilada y encriptada de este archivo, que se almacena en /etc/tripwire/tw.pol. Para generarlo tecleamos lo siguiente# twadmin -m P /etc/tripwire/twpol.txt
Cada vez que modifiquemos el archivo de políticas twpol.txt, tendremos que regenerar el archivo de políticas cifrado tw.pol con el comando anterior.
Construir la base de datos de Tripwire Ir al índice
Una vez configurado e instalado el archivo de políticas, Tripwire necesita recolectar la información actual de los archivos que debe monitorear. Dicha información se almacena en una base de datos especial generada mediante el comando:# tripwire -m i 2> /tmp/mensajes
Hemos redirigido la salida de error ( 2> ) de este comando al archivo /tmp/mensajes. Puede ocurrir que hayan archivos especificados en las políticas (twpol.txt) que no existen o están mal escritos, si ocurriese, quedará registrado en /tmp/mensajes. Los errores deberán corregirse en twpol.txt, y posteriormente habrá que reinstalarlo para reconstruir la base de datos Tripwire. Este procedimiento se repetirá hasta que el archivo de políticas no tenga errores.
NOTA: Una vez desaparecidos todos los errores, eliminar el archivo /tmp/mensajes.
Verificación del Sistema de Archivos Ir al índice
Una vez configurada e instalada la base de datos ya podemos verificar la integridad del sistema de archivos. Para hacerlo, ejecutaremos el siguiente comando:# tripwire -m c
La salida de este comando generará un fichero dentro del directorio /var/lib/tripwire/report. De forma general, estos ficheros tienen la extensión .twr.
NOTA: Cada vez que deseemos saber si nuestro sistema ha sido alterado o no, habrá que ejecutar el comando anterior.
En el caso de que algún o algunos de los archivos monitoreados sean modificados y su modificación sea justificada, como por ejemplo, modificaciones debidas a actualizaciones del sistema o modificación, por el administrador o persona autorizada, de archivos de sistema, debemos reconstruir la base de datos de Tripwire evitando así el que aparezcan discrepancias con el estado actual del sistema de archivos en las próximas verificaciones.
Comprobación de los informes y base de datos de Tripwire Ir al índice
Los informes generados por Tripwire están cifrados. Debido a esto para verlos, será necesarios ejecutar el comando:/usr/sbin/twprint –m r -r /var/lib/tripwire/report/<nombre>.twr</nombre>
Donde la opción -m r indica a tripwire que descifre el informe y -r indica el nombre del informe a descifrar.
Un ejemplo de informe generado por Tripwire sería el siguiente:Tripwire(R) 2.3.0 Integrity Check Report Report generated by: root Report created on: lun 25 abr 2005 16:56:47 CEST Database last updated on: Never =============================================================================== Report Summary: =============================================================================== Host name: glup Host IP address: 147.156.222.65 Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/glup.twd Command line used: tripwire --check =============================================================================== Rule Summary: =============================================================================== ------------------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- Invariant Directories 66 0 0 0 Temporary directories 33 0 0 0 * Tripwire Data Files 100 1 0 0 Critical devices 100 0 0 0 User binaries 66 0 0 0 Tripwire Binaries 100 0 0 0 Critical configuration files 100 0 0 0 Libraries 66 0 0 0 Operating System Utilities 100 0 0 0 File System and Disk Administration Programs 100 0 0 0 Kernel Administration Programs 100 0 0 0 Networking Programs 100 0 0 0 System Administration Programs 100 0 0 0 Hardware and Device Control Programs 100 0 0 0 System Information Programs 100 0 0 0 Application Information Programs 100 0 0 0 Shell Related Programs 100 0 0 0 Critical Utility Sym-Links 100 0 0 0 Shell Binaries 100 0 0 0 Critical system boot files 100 0 0 0 System boot changes 100 0 0 0 OS executables and libraries 100 0 0 0 Security Control 100 0 0 0 Login Scripts 100 0 0 0 Root config files 100 0 0 0 Total objects scanned: 48406 Total violations found: 1 =============================================================================== Object Summary: =============================================================================== ------------------------------------------------------------------------------- # Section: Unix File System ------------------------------------------------------------------------------- ------------------------------------------------------------------------------- Rule Name: Tripwire Data Files (/var/lib/tripwire) Severity Level: 100 ------------------------------------------------------------------------------- Added: "/var/lib/tripwire/glup.twd" =============================================================================== Error Report: =============================================================================== No Errors ------------------------------------------------------------------------------- *** End of report ***
Además, el comando twprint permite visualizar el contenido de la base de datos de tripwire, para ello, ejecutamos el comando:
/usr/sbin/twprint -m d –d /var/lib/tripwire/<nombre>.twd</nombre>
Si lo que nos interesa es ver la información de un fichero en concreto de la base de datos, se puede especificar este fichero en el comando de la siguiente forma:
/usr/sbin/twprint -m d -d /var/lib/tripwire/<nombre>.twd <fichero></fichero></nombre>
Generándose como salida un informe como el siguiente, en el que hemos preguntado por el fichero /bin/bash:
Object name: /bin/bash Property: Value: ------------- ----------- Object Type Regular File Device Number 771 Inode Number 721259 Mode -rwxr-xr-x Num Links 1 UID root (0) GID root (0) Size 626124 Modify Time mié 09 abr 2003 14:59:51 CEST Blocks 1232 CRC32 CkQtai MD5 CNABlAO+m08l4V9ma8K5yS
Eliminación de archivos de texto Ir al índice
Tripwire guarda su configuración y la política del sistema de archivos en dos archivos encriptados con la clave del site. Estos son: /etc/tripwire/tw.cfg y /etc/tripwire/tw.pol respectivamente. El primero se genera a partir de /etc/tripwire/twcfg.txt cuando se definieron las claves o manualmente si se modificó el fichero de configuración, y el segundo se regenera cada vez que se modifica el archivo de políticas /etc/tripwire/twpol.txt. Por motivos de seguridad, los archivos twcfg.txt y twpol.txt, al no estar cifrados, no deberían estar en el sistema hasta que vuelvan a necesitarse. Por lo tanto lo mejor será borrarlos o moverlos a un lugar seguro:# rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt
En ciertas ocasiones será necesario modificar alguno de estos archivos para cambiar la configuración o la política de seguridad del sistema. Si los hemos eliminado, podremos regenerarlos con la herramienta, /usr/sbin/twadmin, que permite generar los archivos de texto a partir de sus correspondientes archivos generados al instalar tripwire.
Para generar el fichero de configuración ejecutaremos el siguiente comando:
/usr/sbin/twadmin -m f > /etc/tripwire/twcfg.txt
Para generar el fichero de políticas ejecutaremos el siguiente comando:
/usr/sbin/twadmin -m p > /etc/tripwire/twpol.txt
- Configuración permanente de Tripwire
Automatización Ir al índice
Una vez comprobado que Tripwire está bien configurado, podemos programar que se ejecute de forma automática.. Se aconseja que se ejecute diariamente, pero queda a elección del administrador establecer la frecuencia. Para su programación diaria, crearemos un archivo en el directorio /etc/cron.daily llamado tripwire con el siguiente contenido:/usr/sbin/tripwire -m c | mail root@localhost
La dirección root@localhost podrá ser sustituida por otra deseada. Es la dirección donde se enviarán los resultados de la monitorización.
Los permisos para el archivo /etc/cron.daily/tripwire serán los siguientes:
# chmod 755 /etc/cron.daily/tripwire
NOTA: El servicio de cron ha de estár ejecutándose.
Notificación vía email Ir al índice
Tripwire es capaz de notificar por email a uno o más usuarios, sin necesidad de que el administrador invoque a un cliente de correo como en el ejemplo anterior, en el que invocamos a mail. Para esto, en el archivo de políticas debemos insertar la directiva:emailto = <dirección_de_correo>[;<otra_dirección_de_correo>]
Esta directiva debe insertarse en la sección de atributos de una regla o conjunto de reglas. Si una regla con la opción de enviar correo electronico ha sido violada, Tripwire lo notificará al destinatario especificado en la directiva.
Por ejemplo, si queremos que sean alertados dos usuarios cuando hubieren modificaciones de los archivos de administración del kernel, debemos modificar la sección correspondiente:
... # Kernel Administration Programs # # ( rulename = "Kernel Administration Programs", severity = $(SIG_HI) ) { /sbin/depmod -> $(SEC_CRIT) ; /sbin/adjtimex -> $(SEC_CRIT) ; ...
e insertar la directiva emailto:
... # Kernel Administration Programs # # ( rulename = "Kernel Administration Programs", severity = $(SIG_HI), emailto = root@localhost;elseguratade@midominio.com ) { /sbin/depmod -> $(SEC_CRIT) ; /sbin/adjtimex -> $(SEC_CRIT) ; ...
Si Ud. usa vi, puede insertar automáticamente la directiva emailto en todas las secciones del archivo con el siguiente comando de última línea:
:1,$s/severity =.*/&,emailto = root@localhost/
NOTA: Una vez realizado este cambio, tendremos que regenerar un nuevo archivo de políticas de Tripwire tal como se explica con anterioridad.
Es posible comprobar que la configuración de los avisos de correo electrónico funciona mediante la ejecución del comando:
/usr/sbin/tripwire -m t -e <dirección_de_correo>
Este comando envía un mensaje de prueba a la dirección de correo indicada.
Finalmente, el archivo /etc/cron.daily/tripwire debe ser modificado del siguiente modo:
/usr/sbin/tripwire -m c --email-report
El archivo de configuración twcfg.txt contiene algunos parámetros adicionales para la configuración del sistema de notificación de email. Por ejemplo, es posible configurar si se deben enviar informes aún si no han habido problemas (ver directiva MAILNOVIOLATIONS). Tripwire, normalmente para el envío de correo, invoca a sendmail pero también se puede seleccionar el agente de mensajería (ver directiva MAILPROGRAM) y generar una conexión directa SMTP hacia otro host.
NOTA: Consulte el manual de twconfig(4) y twpolicy(4) para más opciones y ejemplos.
Script para personalizar nuestro archivo de políticas Ir al índice
Debido a que el archivo twpol.txt que viene con Tripwire hace referencia a archivos del sistema, que en algunos casos no existen o se llaman de forma diferente, sería conveniente personalizar dicho archivo en función del sistema operativo que estemos utilizando.Para agilizar el proceso de personalización os dejo aquí un enlace a la página Guía breve de Tripwire en la cual se nos enseña, como por medio de un script, podemos personalizar nuestras políticas.
- Guía breve de Tripwire.
- Control de la inegridad de ficheros y directorios (Autor: Enrique V. Bonet Esteban).
- Tripwire (Wikipedia).
- Open Source Tripwire®
- Página Man de Tripwire
Espero que este artículo os haya sido de utilidad. Si pensáis que podéis colaborar para mejorar este artículo, que hay algo erróneo en él o simplemente deseáis comentarlo, por favor, dejad vuestra opinión más abajo.
Configuración de privacidad y de cookies.
Deja una respuesta