Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Luise Storch Geändert vor über 10 Jahren
1
Tripwire & Co. Überprüfung der Integrität von Dateien und Verzeichnissen
2
Was ist Tripwire? Tool zur Überwachung von Systemen Sicherheit durch Bestandsaufnahme Überprüfung der Dateiintegrität Tripwire guard the guards 2 Versionen: – GPL – General Public License – Kommerziell
3
Installation von Tripwire RPM, src und doc Links zu finden unter – www.tripwire.org www.tripwire.org nach Paketinstallation… – anpassen von twcfg.txt (/etc/tripwire) – aufrufen von twinstall.sh (/etc/tripwire) – Erzeugung von site-key und local-key
4
Komponenten von Tripwire Konfigurationsdateien – twcfg.txt > tw.cfg Default Policy Datei – twpol.txt > tw.pol Datenbank Datei Report Dateien Verschlüsselungsdateien
5
Verschlüsselung Verwendung einer 1024-bit asymmetrischen Verschlüsselung (public & private key) site-key – Verschlüsselung von policy- und config-File local-key – Verschlüsselung der DB und report files
6
Tripwire Befehle tripwire – Datenbank initialisieren – Integrität überprüfen – Datenbank aktualisieren – Policy aktualisieren – Test
7
Tripwire Befehle twadmin – Konfigurationsdatei erzeugen – Konfigurationsdatei ausgeben – Policy-Datei erzeugen – Policy-Datei ausgeben – Schlüssel erzeugen
8
Tripwire Befehle twprint – Datenbank einsehen und ausgeben – Reportdateien einsehen und ausgeben
9
Funktionsweise
10
Die Default Policies Regeln Haltepunkte Attribute Direktiven Variablen Kommentare Beispiel – /temp -> $(ReadOnly); # Kommentar
11
Regeln Allgemeiner Aufbau – object name -> property mask; Beispiele – /bin->$(ReadOnly); – /etc/shadow->$(IgnoreNone); – /etc->$(mask1); #mask1 is user defined – /etc/passwd->$(mask2); #mask2 is user defined keine Rekursionen in versch. Partitionen – /usr-> +pinugsmc-a; – /usr/local -> +pinugsmc-a;
12
Property Masks Beschreiben Objekteigenschaften, die analysiert wreden sollen Übliche Syntax: – [+-][pinugtsldbamcrCMSH] keine leere Maske +.. einschalten -.. ausschalten
13
Property Masks - Beispiele +p+n+s # compare perm. numb.of links, and file size +pns # same as above pns # sane as above mask1 = +pinug; #define a variable called mask1 /file -> $(mask1)-g # use mask1 but turn off # property g
14
Select Flags
15
Property mask Characters p.. file permissions i.. inode number n.. number on links u.. user ID of owner g.. group ID of owner t.. file type s.. file size d.. device number r.. device number b.. number of blocks m.. modif. ts c.. inode cr/mod ts l.. file grows a.. access ts C.. CRC-32 M.. MD5 S.. SHA H.. HAVAL
16
Haltepunkte ! object name; Beispiel – /etc -> $(ReadOnly); – ! /etc/rc.d;# ignore – ! /etc/mnttab;# ignore
17
Vordefinierte Variablen ReadOnly – +pinugsmtdbCM-raclSH Dynamic – +pinugtd-rsacmblCMSH Growing – +pinugtdl-rsacmbCMSH IgnoreAll – -pinusgamctdrblCMSH
18
Regelattribute object name -> property mask (attribute = value, attribute = value, …) /usr/lib -> $(ReadOnly) (emailto=admin@f.at) (attribute=value) { rule 1; rule 2; } (emailto=admin@f.at) { /usr/lib -> $(ReadOnly); }
19
Regelattribute rulename Beispiel – (rulename=rcfiles) { /home/.login -> $(ReadOnly); /home/.cshrc -> $(ReadOnly); /home/.logout -> $(ReadOnly); } – tripwire --check --rule-name rcfiles
20
Regelattribute emailto Beispiel – (emailto=adm1@f.at;adm2@f.at) { /temp -> $(IgnoreAll); /payroll -> $(ReadOnly) (emailto=adm3@f.at); } /projects -> $(ReadOnly) (emailto=adm4@f.at);emailto=adm4@f.at – tripwire –-check –-email-report
21
Regelattribute severity Beispiel – /usr/bin -> $(ReadOnly) (severity=90); – /usr/lib -> $(ReadOnly) (severity=75); tripwire --check --severity=80
22
Regelattribute recurse Werte: true, false, -1, 0, …, 1.000.000 Beispiel – /temp/dog -> $(ReadOnly) (recurse=2) – /temp/dog/shepherd wird gescannt – /temp/dog/shepherd/bark wird gescannt – /temp/dog/shepherd/bark/loudly.txt wird nicht gescannt
23
Automatisierte Prüfung Verwendung von cron Eintrag in crontab – 0 3 * * * /usr/sbin/tripwire -- check
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.