{"id":1517,"date":"2018-10-16T12:12:13","date_gmt":"2018-10-16T10:12:13","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1517"},"modified":"2021-03-03T10:57:25","modified_gmt":"2021-03-03T09:57:25","slug":"tripwire","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1517","title":{"rendered":"Tripwire"},"content":{"rendered":"

Tripwire<\/a> \u00e8 un IDS o meglio un HIDS (host-based intrusion detection system) che sostanzialmente raccoglie in suo DataBase i dettagli su filesystem e configurazione\u00a0 dell’host su cui \u00e8 installato per fare riferimento e convalidare lo stato corrente del sistema.<\/span> Se vengono trovate modifiche tra lo stato noto e lo stato corrente, potrebbe essere un segno che la sicurezza \u00e8 stata compromessa.
\n<\/span><\/span>Durante l’installazione viene chiesto di inserire 2 chiavi:
\nchiave del sito: questa chiave viene utilizzata per proteggere i file di configurazione.<\/span> Dobbiamo assicurarci che i file di configurazione non vengano modificati, altrimenti il nostro intero sistema di rilevamento non pu\u00f2 essere considerato affidabile.<\/span> Poich\u00e9 gli stessi file di configurazione possono essere utilizzati per pi\u00f9 server, questa chiave pu\u00f2 essere utilizzata su tutti i server.<\/span><\/span>
\nchiave locale: questa chiave viene utilizzata su ogni macchina per eseguire i file binari.<\/span> Questo \u00e8 necessario per garantire che i nostri file binari non vengano eseguiti senza il nostro consenso.<\/span>
\nDato che durante l’installazione lui genera il suo DB sulla scorta del suo file di configurazione nativo che contiene molti controlli che sono da evitare, nella directory \/etc\/tripwire editiamo il file twpol.txt e commentiamo queste voci:
\n# \/etc\/rc.boot -> $(SEC_BIN) ;
\n# \/root\/mail -> $(SEC_CONFIG) ;
\n# \/root\/Mail -> $(SEC_CONFIG) ;
\n# \/root\/.xsession-errors -> $(SEC_CONFIG) ;
\n# \/root\/.xauth -> $(SEC_CONFIG) ;
\n# \/root\/.tcshrc -> $(SEC_CONFIG) ;
\n# \/root\/.sawfish -> $(SEC_CONFIG) ;
\n# \/root\/.pinerc -> $(SEC_CONFIG) ;
\n# \/root\/.mc -> $(SEC_CONFIG) ;
\n# \/root\/.gnome_private -> $(SEC_CONFIG) ;
\n# \/root\/.gnome-desktop -> $(SEC_CONFIG) ;
\n# \/root\/.gnome -> $(SEC_CONFIG) ;
\n# \/root\/.esd_auth -> $(SEC_CONFIG) ;
\n# \/root\/.elm -> $(SEC_CONFIG) ;
\n# \/root\/.cshrc -> $(SEC_CONFIG) ;
\n# \/root\/.bash_profile -> $(SEC_CONFIG) ;
\n# \/root\/.bash_logout -> $(SEC_CONFIG) ;
\n# \/root\/.amandahosts -> $(SEC_CONFIG) ;
\n# \/root\/.addressbook.lu -> $(SEC_CONFIG) ;
\n# \/root\/.addressbook -> $(SEC_CONFIG) ;
\n# \/root\/.Xresources -> $(SEC_CONFIG) ;
\n# \/root\/.Xauthority -> $(SEC_CONFIG) -i ; # Changes Inode number on login
\n# \/root\/.ICEauthority -> $(SEC_CONFIG) ;<\/p>\n

# \/proc -> $(Device) ;<\/p>\n

Quindi aggiorniamo il file di lettura per ricreare il DB con questo comando:<\/p>\n

#twadmin -m P \/etc\/tripwire\/twpol.txt ci chieder\u00e0 la site passphrase<\/p>\n

e successivamente ricostruiamo il DB con:
\n#tripwire –(sono 2 -)init
\ne qui ci chieder\u00e0 a local passphrase.
\ncontrolliamo che tutto sia a posto con un:<\/p>\n

# tripwire –(sono 2 -)check
\nParsing policy file: \/etc\/tripwire\/tw.pol
\n*** Processing Unix File System ***
\nPerforming integrity check…
\nThe object: “\/dev\/pts” is on a different file system…ignoring.
\nWrote report file: \/var\/lib\/tripwire\/report\/sangiorgio-20181016-121022.twr<\/p>\n

Open Source Tripwire(R) 2.4.2.2 Integrity Check Report<\/p>\n

Report generated by: root
\nReport created on: mar 16 ott 2018 12:10:22 CEST
\nDatabase last updated on: Never<\/p>\n

===============================================================================
\nReport Summary:
\n===============================================================================<\/p>\n

Host name: sangiorgio
\nHost IP address: 213.215.236.130
\nHost ID: None
\nPolicy file used: \/etc\/tripwire\/tw.pol
\nConfiguration file used: \/etc\/tripwire\/tw.cfg
\nDatabase file used: \/var\/lib\/tripwire\/sangiorgio.twd
\nCommand line used: tripwire –check<\/p>\n

===============================================================================
\nRule Summary:
\n===============================================================================<\/p>\n

——————————————————————————-
\nSection: Unix File System
\n——————————————————————————-<\/p>\n

Rule Name Severity Level Added Removed Modified
\n——— ————– —– ——- ——–
\nOther binaries 66 0 0 0
\nTripwire Binaries 100 0 0 0
\nOther libraries 66 0 0 0
\nRoot file-system executables 100 0 0 0
\nTripwire Data Files 100 0 0 0
\nSystem boot changes 100 0 0 0
\nRoot file-system libraries 100 0 0 0
\n(\/lib)
\nCritical system boot files 100 0 0 0
\nOther configuration files 66 0 0 0
\n(\/etc)
\nBoot Scripts 100 0 0 0
\nSecurity Control 66 0 0 0
\nRoot config files 100 0 0 0
\nDevices & Kernel information 100 0 0 0
\n(\/dev)
\nInvariant Directories 66 0 0 0<\/p>\n

Total objects scanned: 17548
\nTotal violations found: 0<\/p>\n

===============================================================================
\nObject Summary:
\n===============================================================================<\/p>\n

——————————————————————————-
\n# Section: Unix File System
\n——————————————————————————-<\/p>\n

No violations.<\/p>\n

===============================================================================
\nError Report:
\n===============================================================================<\/p>\n

No Errors<\/p>\n

——————————————————————————-
\n*** End of report ***<\/p>\n

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
\ntrademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
\nfor details use –version. This is free software which may be redistributed
\nor modified only under certain conditions; see COPYING for details.
\nAll rights reserved.
\nIntegrity check complete.
\ne da questo momento in poi tripwire controller\u00e0 che non ci siano variazioni.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Tripwire \u00e8 un IDS o meglio un HIDS (host-based intrusion detection system) che sostanzialmente raccoglie in suo DataBase i dettagli su filesystem e configurazione\u00a0 dell’host su cui \u00e8 installato per fare riferimento e convalidare lo stato corrente del sistema. Se vengono trovate modifiche tra lo stato noto e lo stato corrente, potrebbe essere un segno […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[110,8,14,6],"tags":[140,112,139],"class_list":["post-1517","post","type-post","status-publish","format-standard","hentry","category-ids","category-linux","category-networking","category-work","tag-hids","tag-ids","tag-tripwire"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1517","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1517"}],"version-history":[{"count":5,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1517\/revisions"}],"predecessor-version":[{"id":1891,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1517\/revisions\/1891"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1517"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1517"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1517"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}