Capitolo 10. Installazione e configurazione di Tripwire

Il software Tripwire può aiutarvi a garantire l'integrità dei file e delle directory di sistema più importanti rilevando tutte le modifiche effettuate a tali file. Le opzioni di configurazione di Tripwire comprendono la possibilità di inviare messaggi di avvertimento via e-mail nel caso in cui vengano modificati dei file particolari. L'uso di Tripwire per rilevare le intrusioni e stabilire i danni può essere utile per aiutarvi a individuare le modifiche apportate al sistema e può rendere più veloce il ripristino dopo l'intrusione, riducendo il numero di file da ripristinare per riparare il sistema.

Tripwire confronta i file e le directory con un database fondamentale contenente le posizioni dei file, le date modificate e altri dati. Viene creato facendo una "fotografia" di file e directory specifici in uno stato "sicuro". (Per una maggiore sicurezza Tripwire dovrebbe essere installato prima che si presenti il rischio di un'intrusione nel sistema). Dopo aver creato il database, Tripwire paragona il sistema attuale con il database e segnala tutte le modifiche, aggiunte o cancellazioni avvenute.

Come usare Tripwire

Il seguente diagramma di flusso illustra il modo in cui Tripwire va utilizzato:

Figura 10-1. Come utilizzare Tripwire

Per installare e usare correttamente Tripwire eseguite quanto illustrato qui di seguito:

  1. Installazione di Tripwire e personalizzazione del file di policy — se non lo avete già fatto, installate l'RPM di tripwire (consultate la la sezione Istruzioni per l'installazione dell'RPM). In seguito personalizzate i file di configurazione (/etc/tripwire/twcfg.txt) e di policy (/etc/tripwire/twpol.txt). Eseguite quindi lo script di configurazione (/etc/tripwire/twinstall.sh). Per maggiori informazioni, consultate la la sezione Istruzioni post-installazione.

  2. Inizializzazione del database di Tripwire — create un database contenente i file di sistema più importanti e basato sui contenuti del nuovo file di policy di Tripwire (/etc/tripwire/tw.pol). Per maggiori informazioni, consultate la la sezione Inizializzazione del database.

  3. Controllo dell'integrità di Tripwire — paragonate il database appena creato con i file di sistema attuali e cercate i file mancanti o modificati. Per maggiori informazioni, consultate la la sezione Controllo dell'integrità.

  4. Controllo del file di report di Tripwire — visualizzate il file report di Tripwire utilizzando twprint per evidenziare violazioni dell'integrità. Per maggiori informazioni, consultate la la sezione Visualizzazione dei report.

  5. Misure di sicurezza idonee — se i file controllati sono stati modificati impropriamente, potete sostituire gli originali con i backup o reinstallare il programma.

  6. Aggiornamento del file database di Tripwire — se le violazioni dell'integrità sono autorizzate e valide, perché per esempio avete modificato intenzionalmente un file o sostituito un particolare programma, è necessario specificare al file database di Tripwire di non segnalare tali modifiche come violazioni. Per maggiori informazioni, consultate la la sezione Aggiornamento del database dopo un controllo dell'integrità.

  7. Aggiornamento del file di policy di Tripwire — se dovete modificare l'elenco dei file da controllare o il modo in cui gestire le violazioni dell'integrità, occorre aggiornare il vostro file di policy (/etc/tripwire/twpol.txt), ricreare una copia firmata (/etc/tripwire/tw.pol) e aggiornare il database. Per maggiori informazioni, consultate la la sezione Aggiornamento del file di policy.

Per informazioni più dettagliate, fate riferimento alle relative sezioni contenute in questo capitolo.