19.3. Personalizzazione di Tripwire
Dopo aver installato l'RPM di Tripwire, dovete eseguire le operazioni qui di seguito descritte per inizializzare il software:
19.3.1. Modifica di /etc/tripwire/twcfg.txt
Sebbene non vi occorra modificare questo file sample di configurazione di Tripwire, potrebbe comunque rendersi necessario in base alle vostre esigenze. Per esempio, potreste voler modificare i file di posizione di Tripwire, personalizzare le impostazioni di posta elettronica o decidere la quantità di dettagli da inserire nei report.
Qui di seguito è riportato un elenco delle variabili configurabili dall'utente necessarie, contenute nel file /etc/tripwire/twcfg.txt:
POLFILE — specifica la posizione del file di policy; il parametro di default è /etc/tripwire/tw.pol.
DBFILE — specifica la posizione del file database; il parametro predefinito è /var/lib/tripwire/$(HOSTNAME).twr
REPORTFILE — specifica la posizione dei file report. Il parametro di default è /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.
SITEKEYFILE — specifica la posizione del file con le chiavi del sito; il valore predefinito è /etc/tripwire/site.key.
LOCALKEYFILE — specifica la posizione del file con le chiavi locali; il valore predefinito è /etc/tripwire/$(HOSTNAME)-local.key.
 | Importante |
|---|---|
Se modificate il file di configurazione e non definite le variabili descritte sopra, il file non viene considerato valido da Tripwire. Questo provoca un errore nell'esecuzione di tripwire e siete costretti a uscire dal programma. |
Le restatnti variabili di configurazione contenute nel file sample /etc/tripwire/twcfg.txt sono facoltative. Eccone un esempio:
EDITOR — specifica l'editor di testo invocato da Tripwire. Il parametro di default è /bin/vi.
LATEPROMPTING — Se impostata su true, questa variabile configura Tripwire in modo che aspetti il più a lungo possibile prima di richiedere una password all'utente, riducendo così al minimo la quantità di tempo in cui la password rimane in memoria. Il parametro di default è false.
LOOSEDIRECTORYCHECKING — Se impostata su true, configura Tripwire in modo che invii una segnalazione qualora un file contenuto all'interno di una directory e non segnali invece la modifica alla directory stessa. Serve per limitare la ridondanza dei report di Tripwire. Il parametro predefinito è false.
SYSLOGREPORTING — Se impostata su true, configura Tripwire in modo che segnali eventuali informazioni al demone syslog tramite "utente". Il livello di log è impostato su notice. Per maggiori informazioni, consultate la pagina man di syslogd. Il valore di default è false.
MAILNOVIOLATIONS — Se impostata su true configura Tripwire in modo che spedisca un report via e-mailo email a intervalli regolari, indipendentemente dal verificarsi o meno di violazioni. Il valore predefinito è true.
EMAILREPORTLEVEL — specifica quanto debbano essere dettagliati i report inviati via e-mail. I valori possibili per questa variabile vanno da 0 a 4. Quello di default è 3.
REPORTLEVEL — specifica quanto debbano essere dettagliati i report generati dal comando twprint. Questo valore può essere sovrascritto sulla linea di comando, ma per default è impostato su 3.
MAILMETHOD — specifica il protocollo di posta che Tripwire deve utilizzare. I valori possibili sono SMTP e SENDMAIL. Quello di default è SENDMAIL.
MAILPROGRAM — specifica quale programma di posta Tripwire deve utilizzare. Il valore di default è /usr/sbin/sendmail -oi -t.
Dopo aver modificato il file sample di configurazione, dovrete configurare il file sample di policy.
 | Avvertemza |
|---|---|
Per questioni di sicurezza, si consiglia di cancellare o di salvare in un luogo sicuro tuttel le copie del file di testo /etc/tripwire/twcfg.txt dopo aver eseguito lo script di installazione o aver generato un file di configurazione dotato di firma. In alternativa, potete cambiare i permessi in modo che il file non risulti più leggibile da qualsiasi utente esterno. |
19.3.2. Modifica di /etc/tripwire/twpol.txt
Benché non richiesto, si consiglia di modificare questo file sample di policy commentato in modo che tenga conto delle applicazioni specifiche, dei file e delle directory presenti sul vostro sistema. Se lasciate inalterata la configurazione di esempio dall'RPM, il vostro sistema potrebbe non godere di una adeguata protezione.
Modificando il file di policy, inoltre, contribuirete ad aumentare l'utilità dei report di Tripwire riducendo al minimo falsi allarmi relativi i file e i programmi che non state utilizzando e aggiungendo ulteriori funzionalità, come per esempio le notifiche via e-mail.
 | Nota Bene |
|---|---|
Le notifiche via e-mail non sono configurate per default. Per sapere come configurare questa funzione, consultate la la Sezione 19.8.1. |
Se modificate il file sample di policy dopo aver eseguito lo script di configurazione, consultate la la Sezione 19.8 per ottenere istruzioni su come rigenerare un file di policy dotato di firma.
| Avvertemza |
|---|---|
Per questioni di sicurezza, si consiglia di cancellare o di salvare in un luogo sicuro tuttel le copie del file di testo /etc/tripwire/twpol.txt dopo aver eseguito lo script di installazione o aver generato un file di configurazione dotato di firma. In alternativa, potete cambiare i permessi in modo che il file non risulti più leggibile da qualsiasi utente esterno. |
19.3.3. Esecuzione dello script twinstall.sh
Come utente di root, digitate /etc/tripwire/twinstall.sh al prompt della shell per eseguire lo script di configurazione. Lo script twinstall.sh vi richiede la password locale e per il sito, che vengono utilizzate per generare chiavi crittografate per proteggere i file di Tripwire. In seguito, lo script crea questi file e li firma.
Nel selezionare la password per il sito e la password locale, dovreste terner conto delle linee guida seguenti:
Utilizzate almento otto caratteri alfanumerici e simbolici, ma per ogni password non superate il parametro 1023.
Non utilizzate le virgolette.
Le password di Tripwire devono essere completamente differenti dalla password di root o da qualsiasi altra password impostata per il sistema.
Utilizzate password diverse e uniche sia per la chiave per il sito sia per quella locale.
La password per la chiave per il sito si occupa di proteggere i file di configurazione e di policy di Tripwire. La password per la chiave locale protegge invece i file database e report.
| Avvertemza |
|---|---|
Se doveste dimanticarvi la password, sappiate che non c'è modo di decifrare un file con firma. Se ciò dovesse accadere, i file non sarebbero più utilizzabili e sareste costretti a riconfigurare lo script. |
Criptando i file di configurazione, di policy, database e report, Tripwire li protegge da "sguardi indiscreti", impedendo a chiunque non sia in possesso delle password di visualizzarli. Ciò significa che, anche qualora un "intruso" riuscisse ad accedere come root al vostro sistema, non sarebbe poi in grado di alterare i file di Tripwire per nasconderne le tracce.
Una volta che criptati e firmati, i file di configurazione e di policy generati mediante lo script twinstall.sh non devono mai essere rinominati o spostati.