このページは大阪弁化フィルタによって翻訳生成されたんですわ。

翻訳前ページへ
la integridad de una gran cantidad de archivos que tienden a ser blanco de los atacantes. Sin embargo, este proceso es pesado, y se suele ejecutar a intervalos; por ejemplo, diarios o interdiarios, aunque no hay ninguna restricci? (salvo de recursos) para no lanzarlo cada media hora.

Instalar Tripwire

Descargue la versi? open source de Tripwire del site www.tripwire.org. Elija la versi? que corresponda mejor a su sistema operativo.

Tripwire normalmente se distribuye en un archivo RPM que viene empacado en formato TAR comprimido. En este ?timo caso, usar: 
Configuraci? de Tripwire
Definir las claves de Tripwire
	Tripwire utiliza dos claves (que pueden ser palabras u oraciones)
	para almacenar su informaci?. Una de ellas, la "site key" o
	"clave del site", se emplea para encriptar los archivos de
	configuraci? y de las pol?icas. La otra - la "local key" o
	"clave local", se usa para encriptar la informaci? referida
	al estado de los archivos del sistema que se monitorean.
	
	Ud. necesita estas dos claves para las tareas de administraci?
	de Tripwire. Estas se deben introducir tan pronto como se
	ha instalado Tripwire mediante el comando:

# /etc/tripwire/twinstall.sh

	Recu駻delas bien, o an?elas en un lugar seguro.
        
Configurar el archivo de pol?icas
	La configuraci? de los archivos que van a ser
	monitoreados por Tripwire se mantiene en un gran archivo
	conocido como "archivo de pol?icas" (policy file.) Su
	manipulaci? es algo tediosa dada su extensi?. Tripwire
	viene con un archivo que sirve de "plantilla" para ser
	modificado. Este archivo es:	
	/etc/tripwire/twpol.txt.
        
	Ud. puede modificarlo directamente con un editor de
	texto (aunque le aconsejo que guarde una copia sin
	modificar del mismo.)
	
	Ahora haremos una observaci? de ?den pr當tico y
	did當tico: Tripwire por lo general toma varios minutos
BGCOLOR="#E0E0E0"
WIDTH="100%"
>
...
################################################ #
# File System and Disk Administration Programs # #
################################################
(
  rulename = "File System and Disk Administraton Programs",
  severity = $(SIG_HI)
)
{
  /sbin/accton                         -> $(SEC_CRIT) ;
  /sbin/badblocks                      -> $(SEC_CRIT) ;
  /sbin/dosfsck                        -> $(SEC_CRIT) ;
  /sbin/e2fsck                         -> $(SEC_CRIT) ;
  /sbin/debugfs                        -> $(SEC_CRIT) ;
  /sbin/dumpe2fs                       -> $(SEC_CRIT) ;
  /sbin/dump                           -> $(SEC_CRIT) ;
...
BGCOLOR="#E0E0E0" WIDTH="100%" >

...
################################################ #
# File System and Disk Administration Programs # #
################################################
(
  rulename = "File System and Disk Administraton Programs",
  severity = $(SIG_HI)
)
{
  /sbin/accton                         -> $(SEC_CRIT) ;
  /sbin/badblocks                      -> $(SEC_CRIT) ;
  /sbin/dosfsck                        -> $(SEC_CRIT) ;
  /sbin/e2fsck                         -> $(SEC_CRIT) ;
}
# AHORA AQUI TERMINA EL ARCHIVO. OBSERVE LA LLAVE DE CIERRE.
Como se ve, hemos recortado la parte que estaba m疽 abajo de /sbin/e2fsck, y hemos tenido cuidado de a?dir una llave de cierre (}) para mantener la sintaxis del archivo. A fin de ver los posibles errores con que nos podemos encontrar, sugiero al lector que a?da un archivo inexistente a la lista: 
...
################################################ #
# File System and Disk Administration Programs # #
################################################
(
  rulename = "File System and Disk Administraton Programs",
  severity = $(SIG_HI)
)
{
  /sbin/accton                         -> $(SEC_CRIT) ;
  /sbin/badblocks                      -> $(SEC_CRIT) ;
  /sbin/dosfsck                        -> $(SEC_CRIT) ;
  /sbin/e2fsck                         -> $(SEC_CRIT) ;

# ARCHIVO DE PRUEBA INEXISTENTE AムADIDO. OBSERVE QUE ESTA
# UBICADO ANTES DE LA LLAVE DE CIERRE
  /sbin/lechuga                        -> $(SEC_CRIT) ;
}
# AHORA AQUI TERMINA EL ARCHIVO
>Instalar el archivo de pol?icas

Cuando el archivo de pol?icas contiene todo lo que pretendemos monitorear, es menester "instalarlo". En realidad Tripwire usa una versi? compilada y encriptada de este archivo, que se almacena en /etc/tripwire/tw.pol. Para generarlo (y regenerarlo cuantas veces se necesite), usar: 
# twadmin -m P /etc/tripwire/twpol.txt

Construir la base de datos Tripwire

Una vez configurado e instalado el archivo de pol?icas, Tripwire necesita recolectar la informaci? actual de los archivos que debe monitorear. Dicha informaci? se almacena en una base de datos especial generada mediante el comando: 
# tripwire -m i 2> /tmp/mensajes
Hemos redirigido parte de la salida de este comando al archivo /tmp/mensajes. Es muy probable que hayan archivos especificados en las pol?icas (twpol.txt) que no existen o est疣 incorrectamente escritos (como

Automatizaci?

Ahora que Ud. ha probado la correcta ejecuci? de Tripwire, debemos programar su ejecuci? autom疸ica. Se aconseja una frecuencia diaria, aunque el administrador es libre de usar otro esquema. En RedHat 7.1, la ejecuci? diaria de tripwire se efect? f當ilmente creando un archivo en el directorio /etc/cron.daily (por ejemplo, /etc/cron.daily/tripwire con ># chmod 755 /etc/cron.daily/tripwire

Notificaci? v? email

Esta funcionalidad proporciona un control m疽 flexible con respecto a los reportes v? email. Tripwire es capaz de notificar por email sin necesidad de que el administrador invoque a un cliente de correo como en el ejemplo anterior (en que invocamos a mail. Para esto, en el archivo de pol?icas debemos insertar la directiva: 
emailto = user@host.domain
Esta directiva debe insertarse en la configuraci? de cada grupo de archivos que vamos a monitorear. Cuando alguno de estos archivos es modificado, Tripwire notifica al destinatario especificado. Por ejemplo, si queremos ser alertados cuando hubieren modificaciones de los archivos de administraci? del kernel, debemos modificar la secci? correspondiente: 
...
# Kernel Administration Programs # #
(
  rulename = "Kernel Administration Programs",
  severity = $(SIG_HI)
)
{
  /sbin/depmod                         -> $(SEC_CRIT) ;
  /sbin/adjtimex                       -> $(SEC_CRIT) ;
  /sbin/ctrlaltdel                     -> $(SEC_CRIT) ;
  /sbin/insmod                         -> $(SEC_CRIT) ;
...
e insertar emailto: 
...
# Kernel Administration Programs # #
(
  rulename = "Kernel Administration Programs",
  severity = $(SIG_HI), emailto = root@localhost
)
{
  /sbin/depmod                         -> $(SEC_CRIT) ;
  /sbin/adjtimex                       -> $(SEC_CRIT) ;
  /sbin/ctrlaltdel                     -> $(SEC_CRIT) ;
  /sbin/insmod                         -> $(SEC_CRIT) ;
...
Tripwire normalmente invoca para esto a sendmail.

Si Ud. usa vi, puede insertar autom疸icamente la directiva emailto en todas las secciones del archivo con el siguiente comando "de ?tima l?ea": 
:1,$s/severity =.*/&,emailto = root@localhost/
Aseg?ese de respetar todos los espacios y los signos de puntuaci?.

Finalmente, el archivo /etc/cron.daily/tripwire debe ser modificado del siguiente modo: 
/usr/sbin/tripwire -m c --email-report

El archivo de configuraci? twcfg.txt contiene algunos par疥etros adicionales para la configuraci? del sistema de notificaci? de email. Por ejemplo, es posible configurar si se deben enviar reportes a? si no han habido problemas (ver directiva MAILNOVIOLATIONS de twcfg.txt.) Tambi駭 se puede seleccionar el agente de mensajer? (ver directiva MAILPROGRAM) a fin de no usar sendmail y generar una conexi? directa SMTP hacia otro host.

Consulte el manual de twconfig(4) y twpolicy(4) para m疽 opciones y ejemplos.

Eliminaci? de archivos de texto

Tripwire guarda su configuraci? y la pol?ica del filesystem en dos archivos encriptados con la "clave del site". Estos son: /etc/tripwire/tw.cfg y # rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt Cuando Ud. necesite hacer una modificaci? de la pol?ica, puede regenerar el archivo twpol.txt del siguiente modo: 
# twadmin -m p > /etc/tripwire/twpol.txt
Y el de configuraci? mediante: 
twpol.txt, sino por el contrario,
	deja la "nueva versi?" en /tmp/new.twpol.txt.
        
	Para ejecutarlo, simplemente escribir: