tripwire Praxis

S

sigi9009

New Member
Hallo

ich habe 3 fragen:
1. Wie wandelt man die twcfg.txt in tx.cfg um?

2. Möchte einen Samba file Server überwachen,
Samba sollte via apt-get install installiert werden.
allerdings habe ich gleich nach dem aufsetzen tripwire installiert.
Soll ich danach neu initialisieren?

3. Kann ich mit tripwire wirklich sehen ob ein hacker etwas verändert hat? bei der ümfangreichen Ausgabe (/proc,.. ) ist nicht auf einen Blick ersichtlich ob sich da etwas durch einen Hacker verändert hat, denn es ändert sich sehr viel...

mit Dank und freundlichen Grüßen Sigi
 
Hallo und Willkommen an Board!

Zu 1) Hast Du schon einen twinstall gemacht und auch alle nötigen Keys generiert?
Nachträglich baut man die cfg wie folgt:
Code: 
twadmin -m -F -c tw.cfg -S site.key twcfg.txt

Zu 2) Was erwartest Du von einer Samba-Überwachung mit Tripwire?
Der Sinn ergründet sich mir nicht ganz.

Zu 3) Das Verzeichnis /proc sollte sowieso in der twpol ausgeschlossen werden.
TW eignet sich dazu Binaries (oder statische Dateien) zu überwachen, Änderungen in Verzeichnissen oder Konfiguration aufzuzeigen, usw.

huschi.
 
Ich habe mich in den letzten Tagen intensiver mit Tripwire beschäftigt und war erschüttert über den Funktionsumfang, gerade auch, weil (nach meinem Eindruck) es als eines der Standardtools für die Aufgabenstellung des Erkennens von Veränderungen im Filesystem genannt wird.
Die kommerzielle Version scheint allerdings nicht ganz so limitiert zu sein.

Besser, als ich es selbst beschreiben kann, ist das hier beschrieben:
http://www.softpanorama.org/Security/Integrity/tripwire.shtml
 
Tripwire ist in meinen Augen der beste Ansatz, um sein System im Blick zu haben was Änderungen der Dateien angeht. Durch die konsequente Verschlüsselung kann ein Angreifer auch nicht mal eben die Hashes neu setzen. Er könnte natürlich einfach das Tripwire-Binary austauschen :-(

Wie immer: Absolute Sicherheit gibt es nicht, aber besser Tripwire als kein Tripwire und vollkommenes Fischen im Trüben.
 
Sorry fürs Abdriften:

Gibt es sowas wie tripwire eigentlich auch nicht-kommerziell (und in folgem Umfang ;) )
 
PapaBaer said:
besser Tripwire als kein Tripwire und vollkommenes Fischen im Trüben.
Click to expand...

Natürlich.

Aber im derzeitigen Zustand ist es m.E. extrem mühsam, das System vernünftig abzusichern, weil man ja nur entweder für Verzeichnisse oder einzelne Dateien Regeln benennen kann. Gut wäre es, wenn so was ginge:

!/*/*.log # Logdateien nicht auf Änderungen prüfen
/*/php.ini ... # alle php.inis überwachen, egal wo sie liegen
/*/.htaccess # alle .htaccess überwachen, egal wo sie liegen

Schlecht ist, dass man sowas definieren muss
/var/www/vhost/einedomain/www/.htaccess ...

und wenn dann irgendwann
/var/www/vhost/zweitedomain/www/.htaccess
dazukommt und der Admin vergisst, diese zweite htaccess Datei auch in die Policy aufzunehmen.
 
dante said:
Sorry fürs Abdriften:

Gibt es sowas wie tripwire eigentlich auch nicht-kommerziell (und in folgem Umfang ;) )
Click to expand...

Eine Antwort darauf hätte mich auch interessiert :)

Ich bin vorhin über http://stealth.sourceforge.net/ gestolpert, das sich erst mal gut liest. Im Unterschied zu tripwire benötigt es einen externen Rechner, löst dadurch aber auf alternative Weise das Problem, die Checksummen sicher zu speichern.
*Und* es nutzt ganz einfach find um die zu checkenden Dateien zu definieren, was die Regelerstellung imho sehr erleichtert.

Gibt's Erfahrungen damit? Andere Empfehlungen?
 
You must log in or register to reply here.
Back
Top