Pour vérifier l'intégrité de vos répertoires et systèmes de fichiers, nous allons installer le logiciel tripwire et d'autres petits logiciels contenus dans le paquet checksecurity.
Pour commencer, on installe le paquet checksecurity
aptitude install checksecurity
Ensuite on répond aux questions que posera l'assistant de configuration de tripwire. Notamment les phrases secrètes qui vous permettrons ultérieurement de faire des modifications.
Ensuite on continu la configuration du logiciel tripwire. mais avant nous allons parler un peu du rôle de ce logiciel. Le logiciel Tripwire aide à assurer l'intégrité de répertoires et de systèmes de fichiers importants en identifiant tout changement apporté à ceux-ci. Les options de configuration de Tripwire comprennent notamment l'envoi de messages d'alerte par courrier électronique lorsqu'un fichier spécifique est modifié et la vérification automatique de l'intégrité du système par l'entremise de cron. L'utilisation de Tripwire pour détecter des intrusions dans le système et analyser les dommages causés, vous aide à contrôler les changements apportés au système et accélère la vitesse de sa remise en état lorsqu'il est victime d'une violation, en réduisant le nombre de fichiers devant être restaurés pour le réparer.
Tripwire compare des fichiers et des répertoires avec des informations, telles que des emplacements de fichier, des dates de modification de fichier et d'autres données de ce genre, contenues dans une base de données référentielle. Il crée cette base de données en faisant un instantané de répertoires et de fichiers spécifiques dont l'état est certain et sécuritaire.
La configuration du logiciel s'articule autour de deux fichiers :
Avant de tester le logiciel, il faut créer la base de données concernant votre système de fichier.
/usr/sbin/tripwire --init
il peut s'écouler quelques minutes avant la fin du script.
Pour tester l'installation, on utilise la commande suivante :
/usr/sbin/tripwire --check
Là, il va normalement nous retourner toute une série d'erreurs, elles proviennent du fichier de configuration gérant les politiques d'exclusions. Nous allons donc mettre à jour le fichier gérant les politiques twpol.txt.
En premier, on édite le fichier /etc/tripwire/twpol.txt a l'aide d'un éditeur de texte genre nano ou vi. On commente en mettant un # sur les lignes correspondantes de tous les fichiers n'existant pas sur votre serveur. Par exemple si vous n'avez pas installé Samba, vous pouvez commenter la ligne gérant la vérification du fichier du fichier de configuration de Samba
# /etc/smb.conf -> $(SEC_CONFIG) ;
Ensuite nous indiquer à Tripwire de générer un nouveau fichier /etc/tripwire/tw.pol signé puis de mettre à jour la base de données.
Pour générer et signer le nouveau fichier gérant les politiques nous utilisons la commande suivante :
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt
Puis on vous demande votre phrase secrète et ensuite le fichier est analysé et signé.
Il est très important que vous mettiez à jour votre base de données Tripwire après la création d'un nouveau fichier /etc/tripwire/tw.pol. La façon la plus efficace pour faire cette opération est d'éliminer votre base de données Tripwire existante et d'en créer une nouvelle au moyen du nouveau fichier de politiques, pour cela nous allons utiliser les commandes suivantes. Pour connaitre le nom de votre base de données on utilise la commande suivante ls /var/lib/tripwire.twd
rm /var/lib/tripwire/hostname.com.twd /usr/sbin/tripwire --init
Dans l'exemple ci-dessus on considère que le nom de la base de données est hostname.com.twd.
Si vous modifiez le fichier de configuration /etc/tripwire/twcfg.txt , il ne sera prit en compte qu'une fois que le nouveau fichier sera signer, on utilise la commande suivante :
/usr/sbin/twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt
Lors du changement du fichier /etc/tripwire/twcfg.txt il est inutile de régénérer la base de données.
Autres liens rapides pouvant vous intéresser