Capítulo 10. Instalación y configuración de Tripwire

El software Tripwire puede ayudarle a asegurar la integridad de ficheros y directorios de sistema esenciales identificando todos los cambios hechos a ellos. Las opciones de configuración de Tripwire incluyen la capacidad de recibir alertas por medio de correo electrónico si hay ficheros específicos que han sido modificados y el control de integridad automatizado a través de un trabajo cron. El uso de Tripwire para detectar intrusiones y fijar daños le ayuda a mantenerlo al tanto de los cambios del sistema y puede agilizar el restablecimiento de una entrada forzada reduciendo el número de ficheros que hay que restablecer para reparar el sistema.

Tripwire compara los ficheros y directorios con una base de datos de la ubicación de los ficheros, las fechas en que han sido modificados y otros datos. Tripwire genera la base tomando una instantánea de ficheros y directorios específicos en estado conocido como seguro. (Para máxima seguridad, Tripwire debería ser instalado y la base debería ser creada antes que el sistema sea expuesto al riesgo de intrusión.) Después de haber creado la base de datos de base, Tripwire compara el sistema actual con la base y proporciona información sobre cualquier modificación, añadidura, o supresión.

Cómo usar Tripwire

El siguiente diagrama de flujo ilustra cómo debería usarse Tripwire:

Figura 10-1. Cómo usar Tripwire

Los pasos a tomar para instalar, usar y mantener Tripwire adecuadamente son los siguientes:

  1. Instale Tripwire y personalice el fichero de política — si no lo ha hecho ya, instale el RPM de tripwire (vea la la sección de nombre Instrucciones para la instalación de RPM). Luego personalice la configuración de muestra (/etc/tripwire/twcfg.txt) y los ficheros de política (/etc/tripwire/twpol.txt) y ejecute la secuencia de comandos (/etc/tripwire/twinstall.sh). Consulte la la sección de nombre Instrucciones de post-instalación para obtener más información.

  2. Inicialice la base de datos de Tripwire — construya una base de datos de los ficheros de sistema esenciales para supervisarlos basándose en el contenido del fichero de política Tripwire nuevo y firmado (/etc/tripwire/tw.pol). Consulte la la sección de nombre Inicialización de la base de datos para obtener más información.

  3. Ejecute un control de integridad Tripwire — compare la base de datos Tripwire recién creada con los ficheros de sistema reales en busca de ficheros modificados o desaparecidos. Consulte la la sección de nombre Ejecución de un control de integridad para obtener más información.

  4. Examine el fichero de informes Tripwire — Examine el fichero de informes Tripwire con twprint para distinguir las violaciones a la integridad. Consulte la la sección de nombre Impresión de informes para obtener más información.

  5. Tome las medidas de seguridad adecuadas — si los ficheros bajo supervisión han sido modificados en modo inadecuado, los puede reemplazar con los originales salvados en copias de seguridad o reinstalar el programa.

  6. Actualice el fichero de la base de datos de Tripwire — si las violaciones a la integridad son intencionales y válidas, como si usted hubiese intencionalmente modificado un fichero o reemplazado un determinado programa, debería avisarle al fichero de base de datos de Tripwire que no lo indique como violación en informes futuros. Consulte la la sección de nombre Actualización de la base de datos después de un control de integridad para obtener más información.

  7. Actualice el fichero de política Tripwire — si necesita cambiar la lista de ficheros que Tripwire supervisa, o la manera en que trata las violaciones a la integridad, debería actualizar su fichero de muestra de política (/etc/tripwire/twpol.txt), regenerar una copia firmada (/etc/tripwire/tw.pol), y actualizar su base de datos de Tripwire. Consulte la sección de nombre Actualización del fichero de política para obtener más información.

Consulte las secciones adecuadas en este capítulo para obtener instrucciones detalladas sobre estos pasos.