Checksummakontroll med tripwire

Tripwire är ett verktyg för att göra checksummakontroll, integritetskontroll, av filer och kataloger. Tripwire sparar alla sina data i en databas. Denna databas bör förvaras på ett skrivskyddat medium så att den inte går att ändra. Om möjligt bör även programmet tripwire ligga på ett skrivskyddat medium.

Med tripwire går det att se om en fil eller katalog har ändrats sedan tidigare. Det går att se om någon fil har raderats eller lagts till.

Det tripwire kan titta på är följande:
• Att rättigheter inte har ändrats
• Kontroll av att filer och kataloger har samma i-nodnummer
• Kontroll av antal filnamn som pekar på i-noden (länkar)
• Kontroll att ägare till filer och kataloger inte har ändrats
• Kontroll att grupptillhörighet inte har ändrats för filer och kataloger
• Kontroll av att filers storlek inte har ändrats
• Kontroll av accesstid
• Kontroll av att filer och kataloger inte har blivit ändrade (modifieringstid)
• Kontroll av ctime, inodens förändringstid
• Checksummakontroll

Tyvärr är det fortfarande inte helt hundraprocentigt tillförlitligt eftersom det går att skriva moduler till kärnan som förfalskar information. Om modulstöd är avslaget går det fortfarande, även om det är svårare, att ändra i kärnan så att den förfalskar informationen.

Enda möjligheten är att ha ett separat media, helst skrivskyddat, med kärna och allt som behövs för att boota och boota från den. Se till att även ha tripwire-binären, konfigurationsfilen och databasen på ett skrivskyddat media. Genom att boota med en säker kärna från CD/DVD, USB-minne, USB-disk eller liknande och köra tripwire därifråm då bör det gå det att lita på att det tripwire rapporterar är korrekt.

För mer detaljer om tripwire se manualen.

Tripwire 2.x

Det går att installera tripwire i t.ex. CentOS 7 genom att lägga till EPEL-repo och installera tripwite 2.x därifrån. I Ubuntu kan man installera tripwire med:
sudo apt-get install tripwire

Vid installationen i Ubuntu får du sätta två lösenord/passfraser, site key och local key, och programmet installeras i /usr/sbin och databasen i /var/lib/tripwire. Under installationen får du även göra e-postinställningar.

Det går även att ladda ner källkoden från https://github.com/Tripwire/tripwire-open-source och bygga och installera själv. Den är licensierad under GNU GENERAL PUBLIC LICENSE version 2. Tripwire finns även kommerciellt från https://www.tripwire.com/.

Konfiguration

Läs mer om konfiguration och användning av tripwire 2.x här.

Se manualsidorna för mer information.

Copyright © 2010-2024 Kjell Enblom.
This document is covered by the GNU Free Documentation License, Version 1.3

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".