將tripwire的配置文件、密鑰和數據庫放在分機上。媒體?
(最初發佈在 SE 的 SuperUser 上。錯誤的平台,我從 SU 中刪除了文章。)
我使用預設文件夾和文件位置在 Lx 盒子(Ubuntu 可信賴)上配置了 Tripwire(TM) 2.4.2.2.2。我依靠 Linux Journal 上一篇舊的但仍然是最新的文章,以及無數其他網際網路參考資料,但除了簡單的配置之外,我找不到任何東西。
一切都按預期工作,但我想將 site.key 和 local.key、配置文件和數據庫移動到我在掛載點為此目的預留的只讀可移動媒體
/mnt/TW_bd-bin。有人可以幫助我正確修改
twcfg.txt和 `twpol.txt 嗎?我應該如何修改我的配置?報告摘要的標題:
$ sudo tripwire --check Open Source Tripwire(R) 2.4.2.2 Integrity Check Report Report generated by: root Report created on: Fri Sep 25 19:15:58 2015 Database last updated on: Never =========================================================== Report Summary: =========================================================== Host name: my_host Host IP address: 127.0.1.1 Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/my_host.twd Command line used: tripwire --check目前 /etc/tripwire/twcfg.txt:
$ cat /etc/tripwire/twcfg.txt ROOT =/usr/sbin POLFILE =/etc/tripwire/tw.pol # DBFILE =/var/lib/tripwire/$(HOSTNAME).twd DBFILE =/mnt/TW_db-bin/$(HOSTNAME).twd # REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr REPORTFILE =/etc/tripwire/report/$(HOSTNAME)-$(DATE).twr SITEKEYFILE =/etc/tripwire/site.key LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key # /usr/bin/editor is set to vim.gnome as of 2015.09.24 EDITOR =/usr/bin/editor # LATEPROMPTING =false LATEPROMPTING =true LOOSEDIRECTORYCHECKING =false MAILNOVIOLATIONS =true EMAILREPORTLEVEL =3 REPORTLEVEL =3 SYSLOGREPORTING =true MAILMETHOD =SMTP # see PostFix settings SMTPHOST =smtp.gmail.com # SMTPHOST =localhost SMTPPORT =587 # SSL/TLS # SMTPPORT =25 #TEMPDIRECTORY =/tmp # chmod for /etc/tripwire/tmp is 700 and chown is root:root TEMPDIRECTORY =/etc/tripwire/tmp
工作解決方案在 Ubuntu 14.04.3 上測試,但可能適用於其他基於 Debian 的 Linux 風格,當然也適用於 Red Hat。
如果您在尚未經過測試的平台上令人滿意地應用它,請為此添加簡短的評論。
上面的“可能”意味著網路上的報告顯示了 RH Linux 上的等效步驟,我認為 Lubuntu 也是如此。從您最喜歡的 repo
完成正常軟體包安裝後,步驟開始。tripwire參考:
TRIPWIRE(8) 和 TWADMIN(8) 的手冊頁、官方 Red Hat Linux 參考指南、Linux 安全手冊。$ uname -sivr Linux 3.16.0-50-generic #67~14.04.1-Ubuntu SMP [...] x86_64 $ tripwire --version | head -1 Open Source Tripwire(R) 2.4.2.2.2 built for x86_64-unknown-linux-gnu安裝軟體包後,將
/etc/tripwire/在系統上創建目錄。它包含至少 2 個預設文件:twcfg.txt和twpol.txt. 此外,如果您選擇在安裝時選擇適當的密碼片語來創建它們,它可能包含一個本地密鑰,${HOSTNAME}-local.key或者只是local.key,和一個站點密鑰, 。site.key首先為本地和站點密鑰、配置和策略文件以及報告和數據庫文件選擇新位置。假設您決定將預設
/etc/tripwire/安裝位置更改為安裝點的可安裝設備/mnt/TW-mount/:$ sudo mkdir -p /mnt/TW-mount $ sudo mount /dev/sdZZ /mnt/TW-mount && sudo mkdir -p /mnt/TW-mount/report $ sudo mv /etc/tripwire/*.{txt,key} /mnt/TW-mount/用正確的設備資訊替換
sdZZ上面的安裝說明。
在選擇新位置時,請記住典型的基於 Debian 的 Linux 桌面的 TW 數據庫將佔用 1.5 到 4MB 的空間。此外,每次執行都會生成 TW 報告並累積。不要指望他們會為了你而很好地開始自己輪換。儘管每塊小於 10kB(在對策略文件進行適當修改以符合您的系統配置之後),這些累積的報告最終將需要在幾個月的每日 TW 檢查後以輪換或清理的形式進行干預。其次,修改
/etc/tripwire/twcfg.txt如下:(
預設設置被註釋掉。新設置直接放在它們下面。相關行從POLFILE延伸到LOCALKEYFILE。其他標誌和全域變數值可能因您而異。)# /etc/tripwire/twcfg.txt --> moved to: /mnt/TW-mount/twcfg.txt ROOT =/usr/sbin # POLFILE =/etc/tripwire/tw.pol POLFILE =/mnt/TW-mount/tw.pol # DBFILE =/var/lib/tripwire/$(HOSTNAME).twd DBFILE =/mnt/TW-mount/$(HOSTNAME).twd # REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr REPORTFILE =/mnt/TW-mount/report/$(HOSTNAME)-$(DATE).twr # SITEKEYFILE =/etc/tripwire/site.key SITEKEYFILE =/mnt/TW-mount/site.key # LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key LOCALKEYFILE =/mnt/TW-mount/$(HOSTNAME)-local.key # /usr/bin/editor points to vim.gnome -- check yr own symlink EDITOR =/usr/bin/editor # LATEPROMPTING =false LATEPROMPTING =true # LOOSEDIRECTORYCHECKING =false LOOSEDIRECTORYCHECKING =true # MAILNOVIOLATIONS =true MAILNOVIOLATIONS =false EMAILREPORTLEVEL =3 REPORTLEVEL =3 SYSLOGREPORTING =false MAILMETHOD =SMTP # SMTPHOST =localhost SMTPHOST =smtp.gmail.com # SMTPPORT =25 SMTPPORT =587 TEMPDIRECTORY =/tmp第三,
/mnt/TW-mount/twpol.txt實際上覆蓋了上面設置的某些路徑;您還需要對其進行修改:(僅顯示相關行。)# Standard Debian Tripwire configuration - twpol.txt # .... # Global Variable Definitions # @@section GLOBAL TWBIN = /usr/sbin; # TWETC = /etc/tripwire; TWETC = /mnt/TW-mount; # TWVAR = /var/lib/tripwire; TWVAR = /mnt/TW-mount;第四,如果您已經創建了密鑰文件,請跳至第五部分;如果沒有,現在就這樣做:
$ sudo twadmin -m G -S /mnt/TW-mount/site.key # to create yr site key $ sudo twadmin -m G -L /mnt/TW-mount/${HOSTNAME}-local.key # to create yr local key第五,創建並簽署您的配置和策略文件:
tw.cfg,tw.pol在/mnt/TW-mount/:$ cd /mnt/TW-mount $ sudo twadmin -m F -c /mnt/TW-mount/tw.cfg -S site.key twcfg.txt $ sudo twadmin -m P -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key twpol.txt***注意:***配置文件
tw.cfg在上面是以其絕對路徑引用的。如果不是twadmin,實際上將在其預設位置創建它/etc/tripwire/,並且還將它稱為位於相同的預設位置。這可能是一個硬編碼錯誤,不會影響其他相關文件,例如tw.pol,*.key和*.tw{d,r}files。修復原始碼可能涉及sed在編譯之前就地字元串操作。我選擇從已經打包的資源中工作,但沒有做到這一點。六、創建或“初始化yr數據庫:
$ sudo tripwire -m i -c /mnt/TW-mount/tw.cfg -p tw.pol -S site.key -L ${HOSTNAME}-local.key並執行第一次(互動式)檢查:
$ sudo tripwire -m c -c /mnt/TW-mount/tw.cfg -I請注意,通常,(互動式)檢查是這樣執行的:標誌確保互動性
sudo tripwire -m c -I的地方。-I如果您更改tripwire 資源的預設位置,並且由於上面提到的聲稱的錯誤,您將始終需要聲明要使用的簽名配置文件的位置。為此,您使用 short 選項-c /mnt/TW-mount/tw.cfg。如果省略,您將獲得預設位置行為:$ sudo tripwire -m c -I ### Error: File could not be opened. ### Filename: /etc/tripwire/tw.cfg ### No such file or directory ### Configuration file could not be read. ### Exiting... $最後,開業前:
$ sudo rm -i /mnt/TW-mount/*txt $ sudo chmod 600 /mnt/TW-mount/*.key $ sudo umount /mnt/TW-mount && sudo mount /dev/sdZZ /mnt/TW-mount -o ro,nouser,...HTH。