Tripwire Mini-How-To

#1 moinsen

hab grad für mich ne kleine doku zu tripwire gemacht, damit ich mich nicht jedesmal neu einarbeiten musste (hatte seit meiner zuletzt genutzten version ja auch einige veränderungen gegeben)

sicher, es gibt eine menge how-to's zu diesem thema im netz
aber meine ist auch klein, übersichtlich und in deutscher sprache, was dem ein oder anderen von nutzen sein kann

viel spass

* Achtung *

bei der konfiguration sind dennoch gewisse grundkenntnisse und die bereitschaft, sich fortführend mit dem thema zu befassen notwendig
denn ein falsch konfiguriertes tripwire (mein policy file ist _sehr_ einfach gehalten) bringt einem "0"

änderungen/anmerkungen bitte hier in den thread posten, ich werde das dann in der doku ändern

http://www.different-thinking.de/tripwire_howto.php

greez

#2 Vielen Dank Emba!!

Ich werde es wahrscheinlich am WE auf www.different-thinking.de veröffentlichen!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Was ist 'tripwire' ???
Und warum kenn ich das nicht??

Emba: http://xeper.bounceme.net/upload.php

Server ist normalerweise 24h rund um die Uhr da außer bei einer t-doof disconnection aber sonst kannste ihn auch unter http://xeper.ipv6-net.org/ ereichen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 nunja, tripwire wird dir sicher nicht weiter gefallen, denn es ist leicht auszuhebeln

es ist ein tool, das über gewünschte verzeichnisse/dateien prüfsummen legt, die in eine datenbank einträgt und dann alarm meldet, wenn jmd. diese modifiziert

[edit]

aja, danke für das angebot xeper
robert stellt es on, von daher hat es sich schon erledigt

[/edit]

greez

#5 Naja, also in der kommerziellen Version ist Tripwire weit mehr - es überwacht das komplette System auf Veränderungen und kann diese mit "einem" Klick wieder rückgängig machen.

Ist schon recht nützlich!

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 Gut dann ist es nicht relewant für mich:

A) Ich benutze grsecurity
B) Ich mach backups
C) Ich steh nicht auf klicken



MFG

Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 @xeper

das von mir geschriebene how-to bezieht sich auf die freie version, die klick-frei ist
außerdem kann es für die forensische analyse ganz nützlich sein und beim installieren von programmen, damit man einen überblick hat, welche dateien geändert worden sind (ähnlich nem paketmanager)

greez

#8 @Emba

okay ja hast bestimmt recht - ist ganz nützlich. Aber wenn du grsecurity nutzt (was auch über ACL's funktioniert) brauchste nix anderes mehr nich mal root kann irgendwas machen das is ja scho für ganz paranoide Aber funktioniert gut. Und ansonsten werden grundsätzlich alle Dateien vom Paketmanager in /usr installiert und alle manuell kompilierten in /usr/local - jo du siehs hab da scho meinen durchblick wo meine dateien sind Nun wo gibt es denn tripwire? Gibt es das noch?

Edit: Okkay...

gateway:~# apt-cache search tripwire
bsign - Corruption & intrusion detection using embedded hashes
tripwire - A file and directory integrity checker

DAA
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 jo gibts noch
schau auf die seite von robert oder www.tripwire.org

das prob ebeim installieren von src ist meist, dass nur die executables in das $prefix-verzeichnis kopiert werden
meist hat root keine möglichkeit auch die anderen dateien (libs, ...) zu beeinflussen
meist halten sich die entwickler zwar an den fs-standard, aber es ist schon nett zu wissen, welche libs noch zusätzlich dazu gekommen sind, oder ob nicht sogar evtl. ein prog bestehende libs ändert

xfree zum beispiel hat da so sein eigenes verfahren bei den libs

es geht mit dem tool auch nicht primär darum, dass keiner files mehr verändern kann/darf (das verhindert das tool eh nicht), es können aber immer leaks in SW auftreten, bei denen AFAIK selbst ACL´s nach rsbac, grsecurity, SE-Linux nicht viel verhindern können (okay, root ist eingeschränkt in seinem handeln durch capabilities)

trotzdem danke für eure kommentare, hilft dem thread und den usern sicher weiter

greez

#10 Hallo allerseits,

habe Tripwire installiert und in der conf smtp=mail.gmx.net eingetragen, in der anderen conf habe ich emailto = meineemailadresse@gmx.de hinzugefügt, bis hierhin alles bestens.

Nach tripwire --test --email meineeimal@gmx.de bekomme ich aber die Fehlermeldung vom gmx-smtp cannot resolv your domain 550 mp 021 025 usw.
den smtp eintrag hat er wohl erkannt nur mit meiner Email-Adresse hat er wohl schwierigkeiten (habe es bei Yahoo versucht und bekomme authentification error zurück).
Habe mich natürlich schon mit den howtow´s beschäftigt.
Wo liegt der Fehler ???


Gruß
linuxanfänger

#11 ich denke der fehler liegt im fehlenden mx-record für deinen hostnamen bzw. domäne
das ist zur prävention vor spam

tripwire ist hier also net schuld....

google mal ein bisschen, wie man lokal mit dem programm mail mails an mailserver verschickt, die authentifizierung erfordern (meist via paket saslauth möglich)

greez