Capitolo 19. Tripwire
Il software di garanzia dell'integrità dei dati di Tripwire tiene sotto controllo i file e delle directory di sistema più importanti rilevando tutte le modifiche effettuate a tali file. Esso effettua questo compito attraverso una verifica automatizzata eseguita ad intervalli regolari. Se Tripwire rileva che é stato cambiato un file, lo notifica all'amministratore del sistema tramite una email. Poiché Tripwire è in grado di individuare i file che sono stati aggiunti, modificati o rimosssi, può rendere più veloce il ripristino dopo l'intrusione, riducendo al minimo il numero di file da ripristinare. Queste caratteristiche rendono Tripwire uno strumento eccellente per gli amministratori del sistema che hanno bisogno di rilevare l'intrusione con una successiva valutazione dell'errore per i loro server.
Tripwire confronta i file e le directory con un database fondamentale contenente le posizioni dei file, le date modificate e altri dati. Il database contiene linee di base, ovvero delle "fotografie" di file e directory specifici in un determinato momento. Il contenuto del database della linea di base dovrebbe essere creato prima che si presenti il rischio di un'intrusione nel sistema. Dopo aver creato il database, Tripwire paragona il sistema attuale con il database e segnala tutte le modifiche, le aggiunte o le cancellazioni avvenute.
Tripwire é un importante strumento per la revisione della sicurezza dei sistemi di Red Hat Linux esso peró non é supportato da Red Hat, Inc. Se avete bisogno di maggiori informazioni inerenti Tripwire, é consigliabile controllare il seguente sito web http://www.tripwire.org.
19.1. Come usare Tripwire
Il seguente diagramma di flusso illustra il funzionamento di Tripwire:
Di seguito trovate una descrizione più dettagliata dei blocchi numerati mostrati nella Figura 19-1:
- 1. Installazione di Tripwire e personalizzazione del file di policy
Installate l'RPM di Tripwire (controllate la Sezione 19.2). In seguito personalizzate i file di configurazione e i file di policy (rispettivamente /etc/tripwire/twcfg.txt e /etc/tripwire/twpol.txt), e poi eseguite quindi lo script di configurazione, /etc/tripwire/twinstall.sh. Per maggiori informazioni, controllare la Sezione 19.3.
- 2. Inizializzazione del database di Tripwire.
Create un database contenente i file di sistema più importanti e basato sui contenuti del nuovo file di policy di Tripwire (/etc/tripwire/tw.pol). Per maggiori informazioni, consultate la Sezione 19.4.
- 3. Controllo dell'integrità di Tripwire.
Confrontate il database appena creato con i file di sistema attuali e cercate i file mancanti o modificati. Per maggiori informazioni, consultate la Sezione 19.5.
- 4. Controllo del file di report di Tripwire.
Visualizzate il file report di Tripwire utilizzando /usr/sbin/twprint per evidenziare violazioni dell'integrità. Per maggiori informazioni, consultate la Sezione 19.6.1.
- 5. In caso di violazioni dell'integrità non autorizzate, adottare misure di sicurezza appropriate.
Se i file controllati sono stati modificati impropriamente, potete sostituire gli originali con i backup, reinstallare il programma oppure reinstallare l'intero sistema operativo.
- 6. Se le modifiche al file risultano valide, verificare e aggiornare il file database di Tripwire.
Se le modifiche apportate ai file controllati sono state fatte intenzionalmente, modificate il file database in modo che tali modifiche non vengano segnalate come violazioni. Per maggiori informazioni, consultate la Sezione 19.7.
- 7. Se il file di policy fallisce la verifica, aggiornare file di policy di Tripwire.
Per modificare l'elenco dei file da controllare o il modo in cui gestire le violazioni dell'integrità, aggiornate il file di policy (/etc/tripwire/twpol.txt), ricreare una copia firmata (/etc/tripwire/tw.pol) e aggiornare il database. Per maggiori informazioni, consultate la Sezione 19.8.
Per informazioni più dettagliate, fate riferimento alle relative sezioni contenute in questo capitolo.