Chapitre 10. Installation et configuration de Tripwire
Le logiciel Tripwire aide à assurer l'intégrité de répertoires et de systèmes de fichiers importants en identifiant tout changement apporté à ceux-ci. Les options de configuration de Tripwire comprennent notamment l'envoi de messages d'alerte par courrier électronique lorsqu'un fichier spécifique est modifié et la vérification automatique de l'intégrité du système par l'entremise de cron. L'utilisation de Tripwire pour détecter des intrusions dans le système et analyser les dommages causés, vous aide à contrôler les changements apportés au système et accélère la vitesse de sa remise en état lorsqu'il est victime d'une violation, en réduisant le nombre de fichiers devant être restaurés pour le réparer.
Tripwire compare des fichiers et des répertoires avec des informations, telles que des emplacements de fichier, des dates de modification de fichier et d'autres données de ce genre, contenues dans une base de données référentielle. Il crée cette base de données en faisant un instantané de répertoires et de fichiers spécifiques dont l'état est certain et sécuritaire. (Pour avoir un maximum de sécurité, Tripwire devrait être installé et sa base de données référentielle créée avant que le système ne coure le risque d'être victime d'une intrusion.) Une fois la base de données référentielle créée, Tripwire compare le système en cours avec cette base de données et produit un rapport des modifications, des suppressions et des ajouts effectués.
Comment utiliser Tripwire
L'organigramme suivant illustre comment utiliser Tripwire :
Suivez les étapes suivantes pour installer, utiliser et maintenir correctement Tripwire :
Installation de Tripwire et personnalisation du fichier de politiques — si ce n'est déjà fait, installez le RPM tripwire (voir la la section intitulée Instructions d'installation du RPM). Ensuite, personnalisez les exemples de fichiers de configuration (/etc/tripwire/twcfg.txt) et de politiques (/etc/tripwire/twpol.txt) et exécutez le script de configuration (/etc/tripwire/twinstall.sh). Pour plus de détails, reportez-vous à la la section intitulée Instructions à suivre après l'installation.
Initialisation de la base de données de Tripwire — créez une base de données des fichiers système critiques devant être contrôlés en fonction des directives contenues dans le tout nouveau fichier de politiques Tripwire signé (/etc/tripwire/tw.pol). Consultez la la section intitulée Initialisation de la base de données pour en savoir plus.
Exécution d'une vérification d'intégrité Tripwire — comparez la base de données de Tripwire nouvellement créée avec les fichiers système pour vérifier s'il en manque ou si certains d'entre eux ont été modifiés. Reportez-vous à la la section intitulée Exécution d'une vérification d'intégrité pour avoir plus de renseignements à ce sujet.
Analyse d'un fichier rapport de Tripwire — visualisez un fichier rapport Tripwire au moyen de twprint afin d'identifier les violations d'intégrité du système. Pour en savoir plus, reportez-vous à la la la section intitulée Impression des rapports.
Prise de mesures appropriées — si les fichiers contrôlés ont été modifiés de façon non voulue, deux choix s'offrent à vous : vous pouvez remplacer les fichiers originaux par des copies de sauvegarde ou tout simplement réinstaller le programme.
Mise à jour du fichier de la base de données de Tripwire — si les violations de l'intégrité du système sont intentionnelles, dans le cas où vous avez modifié un fichier volontairement ou remplacé un programme donné par exemple, vous devez indiquer au fichier de la base de données Tripwire de ne plus souligner ces violations dans les rapports suivants. Pour plus de détails, veuillez lire la la section intitulée Mise à jour de la base de données après une vérification d'intégrité.
Mise à jour du fichier de politiques de Tripwire — si vous avez besoin de changer la liste des fichiers contrôlés par Tripwire ou la façon dont les violations d'intégrité sont traitées, vous devez mettre à jour votre exemple de fichier de politiques (/etc/tripwire/twpol.txt), régénérer une copie signée (/etc/tripwire/tw.pol) et mettre à jour votre base de données Tripwire. Pour plus de renseignements là-dessus, reportez-vous à la la section intitulée Mise à jour du fichier de politiques.
Pour obtenir des instructions plus détaillées sur ces différentes étapes, consultez les sections de ce chapitre les concernant.