BULMA: Instalando y configurando Tripwire en debian


Bergantells Usuaris de GNU/Linux de Mallorca i Afegitons \| Bisoños Usuarios de GNU/Linux de Mallorca y Alrededores

CONTENIDOS
. Jornadas de software libre . Version para PDA . Enlaces breves . La asociacion . Los mas leidos . Autores [Actividad] . Ultimos Comentarios . Todos los titulares! . Estadisticas . Guia de estilo . ¿Sugerencias? . Wiki . [Ayuda]
Listas de correo
. Archivos bulmailing
. Archivos BulmaGes
Radio libre :-)
. Des de la Xarxa (Archivos)
. Mallorca en Xarxa
Busquedas



+ Enlaces Linux

Ultimos kernels
(09/02/2010 16:21:07)

Instalando y configurando Tripwire en debian (15461 lectures)
Por Elídier Moya R
lillo (http://emoya.freeshell.org)
Creado el 20/08/2004 16:34 modificado el 20/08/2004 16:34

Este programa nos ayuda a determinar cuando la seguridad de nuestro equipo ha sido comprometida. Nos informará cuando todas las otras medidas de seguridad han fallado. En la Web es posible encontrar información acerca de su instalación en Red Hat y otros sabores, pero en Debian no encontré nada y tuve que hacerlo todo con el man. Lo que en realidad no resultó tan rápido como yo desearía. Así que aquí va.

Pura Vida! y espero que sea de ayuda

Pagina1/1

Tripwire

¿Qué hace?

Cuando alguien logra ingresar en nuestro sistema no deseará perder la oportunidad de seguir utilizandolo, por lo que probablemente instalará algo llamado rootkit. Estos rootkit, vistos de una manera muy sencilla, son un conjunto de archivos destinados a reemplazar programas del sistema, creando versiones modificadas para que el administrador no descubra la presencia de procesos extraños, o logs de acceso de usuarios desconocidos.
Por ejemplo, instalan un programa en lugar del pstree original, de modo que cuando se ejecute pstree, no se mostrarán todos los procesos que se están ejecutando. Como puede verse si el administrador no puede confiar en su propio sistema, será muy difícil determinar si este ha sido comprometido.

Instalación y configuración

El primer paso es encontrar y descargar el programa de Internet (si estas usando sarge puedes hacer un sencillo apt-get), seguidamente dpkg -i tripwire.2.3.1.2-0, para instalarlo.

Aquí comienza lo interesante, toda la documentación que puede encontrar me dice que utilice el script install.sh, el cual no encontré por ninguna parte en mi debian. Por lo que el primer paso que realice fue generar una llave, el comando utilizado fue

twadmin -m G -L /etc/tripwire/site.key (Importante: Cuidado con las mayúsculas y minúsculas en los parámetros)

Este pide una contraseña (Utilizar una contraseña de verdad, osea que tenga minúsculas, mayúsculas, números y letras)

Seguidamente es necesario crear un archivo de configuración. Este se creará basado en el archivo de texto /etc/tripwire/twcfg.txt el cual debemos editar para ajustar a nuestras necesidades. (Yo no tuve que cambiar nada aquí). El comando utilizado para crear el archivo de configuración es:

twadmin -m F -S /etc/tripwire/site.key -c /etc/tripwire/tw.cfg /etc/tripwire/twcfg.txt

Ahora es necesario crear un archivo llamado nombre_de_mi_host-local.key, este es idéntico al archivo site.key que creamos antes, por lo que cp site.key nombre_de_mi_host-local.key será suficiente.

El siguiente paso es crear un archivo de políticas, este se creará basado en el archivo /etc/tripwire/twpol.txt (tampoco tuve que modificar nada en este archivo de texto). El comando para generar el archivo de políticas es:

twadmin -m P /etc/tripwire/twpol.txt

Crear la base de datos

Para crear la base de datos (con la información que Tripwire debe monitorear) se utiliza el comando

tripwire -m i 2> /tmp/mensajes

Esta forma de ejecución la encontré aquí [1], es un completo tutorial, solamente que es para Red Hat. En él se explica que el comando anterior creará el archivo /tmp/mensajes, donde aparecerá una lista de los archivos que no se encontraron al intentar crear la base de datos.

La duración de este paso dependerá de la cantidad de archivos que desee monitorear, si utilizó las archivos tal y como se instalarón deberá tener paciencia ya que la ejecución tardará. Al finalizar este paso usted verá un nuevo archivo llamado /var/lib/tripwire/nombre_de_mi_host.twd

Verificar la integridad

Cuando deseemos verificar la integridad de nuestro sistema basta con ejecutar

tripwire -m c

y al final veremos un lindo reporte que nos indica si alguno de nuestros archivos ha cambiado desde la creación de la base de datos.

Importante:

Puede que usted desee notificación por correo electrónico. Eso esta bien documentado en el link que mencione antes. [1]

[1] http://www.marqueze.net/LuCAS/Tutoriales/GUIA_TRIPWIRE/guia_tripwire.html

Version para
imprimir

Version
PDF

Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos

1. Re: Instalando y configurando Tripwire en debian (20/08/2004 23:56, #22911)
Por: Anònim

Hola

Manuales

http://www.seguridad.unam.mx/Tutoriales/Tutoriales/tripwire/tripwire.html

http://www.redes-linux.com/manuales.php?catId=Seguridad

En una debian sid hay .deb pero en woody yo no lo encontre se baja de la web este) Tripwire Open Source tarball: tripwire-2.3-47.bin.tar.gz (3.1 Mb), pero al ejecutar el install.sh te dice que le falta un programita que se llama siggen (sirver generar firmas) yo no lo he conseguido instalar en woody si alguien que me diga donde encontró el paquete gracias

No es pot respondre

2. Re: Instalando y configurando Tripwire en debian (21/08/2004 00:24, #22912)
Por: lillo

El que utilice en los pasos arriba mencionados lo conseguí aquí

http://debian.lcs.mit.edu/pub/csail-debian/dists/woody/csail/bina ry-i386 /

Lo tengo en Woody y funciona bien.

Espero te funcione, en caso que el link no funcione, me contactas por correo y vemos la forma para hacertelo llegar.

Lillo.

No es pot respondre

3. Re: Instalando y configurando Tripwire en debian (21/08/2004 09:04, #22918)
Por: riceru

Hola

Solo comentar que una alternativa a Tripwire es Aide y está en woody.

Yo lo uso, fue apt-get y a funcionar.

Saludos

No es pot respondre

4. Re: Instalando y configurando Tripwire en debian (23/08/2004 17:46, #22943)
Por: Anónimo

Si se trata sólo de verificar la integridad de determinados archivos del sistema, existen muchas alternativas:

* afik (http://afick.sourceforge.net/), usa perl.
* filewatcher (http://www.willingminds.com/resources/filewatcher.html)
* Nabou (http://www.daemon.de/Nabou)
* samhain (http://la-samhna.de/samhain/index.html)

AlBundy

No es pot respondre

5. Un libro muy bueno [Firewalls] (21/08/2004 18:43, #22924)
Por: Anónimo

En realidad lo llaman "El libro oficial de RedHat - Firewals", escrito por McCarty y traducido al castellano durante el 2003. Está revisado por un montón de gente experta y lo que he leido -TODO- para mi es lei, aunque luego me lo configure a mi manera. ;-)

Trata la seguridad en los cortafuegos y da indicaciones precisas sobre como intalar Tripware y algunos programas más para complementar la seguridad.

Total: Que me has pisado parte de un buen artículo sobre el tema. Leedlo, no defrauda.

No es pot respondre

6. Re: Instalando y configurando Tripwire en debian (22/08/2004 15:44, #22933)
Por: queru (http://www.zaragozawireless.org)

En la guía se confunde el término hacker con cracker, con ciberdelincuente o sencillamente con delincuente informático.

Un hacker es, por ejemplo, Richard Stallman, y él no va a entrar en tu servidor ni te va a instalar ningún rootkit.

How To Become A Hacker.

No es pot respondre

GRACIAS

Por el servidor

Dpto. de Matematicas e Informatica

Calificacion

Vots: 11

Danos tu opinion:

SECCIONES

Noticia

Breve

Truco

Enlace

Participa

Proyecto

Articulo

Webbulma

Manoletada :-)

Seguridad

Modificado: 12/11/2009 00:08:35 | Tiempo Total: 0.030 segs | Kernel: Linux - i686 - 2.6.26-1-686 | Last boot: 09/02/2010 16:50 CET