(원래 SE의 Super User에 게시되었습니다. 플랫폼이 잘못되어 SU에서 게시물을 삭제했습니다.)
기본 폴더 및 파일 위치를 사용하여 Lx 상자(Ubuntu trusty)에 Tripwire(TM) 2.4.2.2.2를 구성했습니다. 나는 더 오래된 것에 의존하고 있지만 여전히 최신 상태입니다.기사Linux Journal과 수많은 다른 인터넷 참고 자료에서 공통 구성 외에는 찾을 수 없습니다.
모든 것이 예상대로 작동하지만 site.key 및 local.key, 구성 파일 및 데이터베이스를 이 목적을 위해 마운트 지점에 따로 보관해 둔 읽기 전용 이동식 미디어로 이동하려고 합니다 /mnt/TW_bd-bin
.
누군가 twcfg.txt
twpol.txt를 올바르게 수정하도록 도와줄 수 있나요? 구성을 어떻게 수정해야 합니까?
보고서 요약 제목:
$ sudo tripwire --check
Open Source Tripwire(R) 2.4.2.2 Integrity Check Report
Report generated by: root
Report created on: Fri Sep 25 19:15:58 2015
Database last updated on: Never
===========================================================
Report Summary:
===========================================================
Host name: my_host
Host IP address: 127.0.1.1
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/my_host.twd
Command line used: tripwire --check
현재 /etc/tripwire/twcfg.txt:
$ cat /etc/tripwire/twcfg.txt
ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
# DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
DBFILE =/mnt/TW_db-bin/$(HOSTNAME).twd
# REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
REPORTFILE =/etc/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
# /usr/bin/editor is set to vim.gnome as of 2015.09.24
EDITOR =/usr/bin/editor
# LATEPROMPTING =false
LATEPROMPTING =true
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =true
MAILMETHOD =SMTP # see PostFix settings
SMTPHOST =smtp.gmail.com
# SMTPHOST =localhost
SMTPPORT =587 # SSL/TLS
# SMTPPORT =25
#TEMPDIRECTORY =/tmp
# chmod for /etc/tripwire/tmp is 700 and chown is root:root
TEMPDIRECTORY =/etc/tripwire/tmp
답변1
작업 솔루션은 Ubuntu 14.04.3에서 테스트되었지만 다른 Debian 기반 Linux 버전에서도 작동할 수 있으며 가장 확실히 Red Hat에서도 작동할 수 있습니다.
아직 테스트해보지 않은 플랫폼에 적용하는 것이 만족스럽다면, 이에 대한 간단한 코멘트를 추가해주세요.
위의 "아마도"는 웹상의 보고서에 RH Linux에서 동일한 단계가 표시된다는 의미이며 Lubuntu에서도 마찬가지라고 가정합니다. 즐겨찾는 저장소에서
일반 패키지 설치를 완료한 후 단계가 시작됩니다 .tripwire
참고 자료:
TRIPWIRE(8) 및 TWADMIN(8)에 대한 매뉴얼 페이지공식 Red Hat Linux 참조 가이드, 이것Linux 보안 가이드.
$ uname -sivr
Linux 3.16.0-50-generic #67~14.04.1-Ubuntu SMP [...] x86_64
$ tripwire --version | head -1
Open Source Tripwire(R) 2.4.2.2.2 built for x86_64-unknown-linux-gnu
이 디렉토리는 패키지가 설치된 후 /etc/tripwire/
시스템에 생성됩니다 . 여기에는 최소 2개의 기본 파일( twcfg.txt
및 ) 이 포함됩니다. 또한 twpol.txt
적절한 암호를 선택하여 설치 중에 생성하도록 선택한 경우 로컬 키( ${HOSTNAME}-local.key
또는 하나만) local.key
와 사이트 키() 가 포함될 수 있습니다.site.key
첫 번째로컬 및 사이트 키, 구성 및 정책 파일, 보고 및 데이터베이스 파일의 새 위치를 선택합니다. /etc/tripwire/
마운트 지점에서 기본 마운트 위치를 마운트 가능한 장치로 변경하기 로 결정했다고 가정해 보겠습니다 /mnt/TW-mount/
.
$ sudo mkdir -p /mnt/TW-mount
$ sudo mount /dev/sdZZ /mnt/TW-mount && sudo mkdir -p /mnt/TW-mount/report
$ sudo mv /etc/tripwire/*.{txt,key} /mnt/TW-mount/
sdZZ
위의 설치 지침을 올바른 장치 정보로 바꾸세요.
새 위치를 선택할 때 일반적인 Debian 기반 Linux 데스크톱의 TW 데이터베이스는 1.5~4MB의 공간을 차지한다는 점을 명심하세요. 또한 각 실행 및 누적에 대해 TW 보고서가 생성됩니다. 그들이 당신을 위해 스스로 잘 회전하기 시작할 것이라고 기대하지 마십시오. 작지만 각각 10kB 미만(뒤쪽에정책 파일은 시스템 구성에 맞게 적절하게 수정되었습니다.) 이러한 누적된 보고서는 결국 몇 달 간의 일일 TW 확인 후 순환 또는 정리 형태의 개입이 필요합니다.
두번째, /etc/tripwire/twcfg.txt
다음과 같이 수정합니다:
(기본 설정은 주석 처리되어 있습니다. 새 설정은 바로 아래에 배치됩니다. 관련 줄은 POLFILE에서 LOCALKEYFILE까지 확장됩니다. 기타 플래그 및 전역 변수 값은 사용자의 것과 다를 수 있습니다.)
# /etc/tripwire/twcfg.txt --> moved to: /mnt/TW-mount/twcfg.txt
ROOT =/usr/sbin
# POLFILE =/etc/tripwire/tw.pol
POLFILE =/mnt/TW-mount/tw.pol
# DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
DBFILE =/mnt/TW-mount/$(HOSTNAME).twd
# REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
REPORTFILE =/mnt/TW-mount/report/$(HOSTNAME)-$(DATE).twr
# SITEKEYFILE =/etc/tripwire/site.key
SITEKEYFILE =/mnt/TW-mount/site.key
# LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
LOCALKEYFILE =/mnt/TW-mount/$(HOSTNAME)-local.key
# /usr/bin/editor points to vim.gnome -- check yr own symlink
EDITOR =/usr/bin/editor
# LATEPROMPTING =false
LATEPROMPTING =true
# LOOSEDIRECTORYCHECKING =false
LOOSEDIRECTORYCHECKING =true
# MAILNOVIOLATIONS =true
MAILNOVIOLATIONS =false
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =false
MAILMETHOD =SMTP
# SMTPHOST =localhost
SMTPHOST =smtp.gmail.com
# SMTPPORT =25
SMTPPORT =587
TEMPDIRECTORY =/tmp
제삼, /mnt/TW-mount/twpol.txt
이는 위에서 설정한 일부 경로를 실제로 재정의하며 이를 수정해야 합니다.(해당 행만 표시됩니다.)
# Standard Debian Tripwire configuration - twpol.txt
# ....
# Global Variable Definitions
#
@@section GLOBAL
TWBIN = /usr/sbin;
# TWETC = /etc/tripwire;
TWETC = /mnt/TW-mount;
# TWVAR = /var/lib/tripwire;
TWVAR = /mnt/TW-mount;
네번째, 이미 키 파일을 생성했다면 섹션 5로 건너뛰고, 그렇지 않다면 지금 수행하세요.
$ sudo twadmin -m G -S /mnt/TW-mount/site.key # to create yr site key
$ sudo twadmin -m G -L /mnt/TW-mount/${HOSTNAME}-local.key # to create yr local key
다섯, 구성 및 정책 파일 생성 및 서명: tw.cfg
, tw.pol
위치 /mnt/TW-mount/
:
$ cd /mnt/TW-mount
$ sudo twadmin -m F -c /mnt/TW-mount/tw.cfg -S site.key twcfg.txt
$ sudo twadmin -m P -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key twpol.txt
노트:tw.cfg
위의 구성 파일은 절대 경로로 참조됩니다. 그렇지 않은 경우 twadmin
실제로는 기본 위치에 생성되며 /etc/tripwire/
동일한 기본 위치라고도 합니다. 이는 tw.pol
, *.key
및 파일 과 같은 다른 관련 파일에 영향을 주지 않는 하드 코딩된 오류일 수 있습니다 *.tw{d,r}
. 소스 코드를 수정하는 데에는 다음이 포함될 수 있습니다.sed
제자리에컴파일 전 문자열 조작. 이미 패키지된 리소스로 작업하기로 선택했지만 얻지 못했습니다.
육도 음정, 데이터베이스 생성 또는 "초기화:
$ sudo tripwire -m i -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key -L ${HOSTNAME}-local.key
(대화형) 검사를 먼저 실행하십시오.
$ sudo tripwire -m c -c /mnt/TW-mount/tw.cfg -I
일반적으로 (대화형) 검사는 다음과 같이 실행됩니다. sudo tripwire -m c -I
여기서 -I
플래그는 대화형을 보장합니다. Tripwire 리소스의 기본 위치를 변경하고 위에서 언급한 버그로 인해 사용하려는 서명 프로필의 위치를 항상 선언해야 합니다. 이를 위해 짧은 옵션을 사용할 수 있습니다 -c /mnt/TW-mount/tw.cfg
. 생략하면 기본 위치 동작이 수행됩니다.
$ sudo tripwire -m c -I
### Error: File could not be opened.
### Filename: /etc/tripwire/tw.cfg
### No such file or directory
### Configuration file could not be read.
### Exiting...
$
마지막, 개봉 전:
$ sudo rm -i /mnt/TW-mount/*txt
$ sudo chmod 600 /mnt/TW-mount/*.key
$ sudo umount /mnt/TW-mount && sudo mount /dev/sdZZ /mnt/TW-mount -o ro,nouser,...
HTH.