DFN-CERT

Druckversion

[previous] [up] [next]

Previous: Konfiguration zur automatischen Überwachung des Firewalls
Up: Implementation eines Firewalls
Next: Anhang

Installation und Konfiguration von Tripwire

Mit Hilfe von tripwire können ungewollte Änderungen am Dateisystem erkannt werden. Damit der Integrity-Check selbst nicht angreibar ist, werden die entsprechenden Dateien von einer schreibgeschützten Diskette gelesen.

Installation

Folgende Anpassungen müssen nach dem Entpacken vorgenommen werden:

  • Änderungen in der Datei tripwire-1.2/Makefile
    15c15
    < DESTDIR = /usr/local/bin
    ---
    > DESTDIR = /secureplace/bin
    18c18
    < MANDIR  = /usr/local/man
    ---
    > MANDIR  = /usr/man
  • Änderungen in der Datei tripwire-1.2/src/Makefile
    106c106
    < install:      tripwire siggen
    ---
    > install:      tripwire
    108d107
    <       $(INSTALL) siggen $(DESTDIR)
  • Änderungen in der Datei tripwire-1.2/include/config.h
    20c20
    < #include "../configs/conf-sunos-4.1.h"
    ---
    > #include "../configs/conf-svr4.h"
    96,97c96,107
    < #define CONFIG_PATH     "/tripwire/config"
    < #define DATABASE_PATH   "/tripwire/databases"
    ---
    > /*
    > #if !defined(SYSV) || (defined(SYSV) && (SYSV > 2))
    > # define CONFIG_PATH     "/usr/adm/tcheck"
    > # define DATABASE_PATH   "/usr/adm/tcheck/databases"
    > #else
    > # define CONFIG_PATH     "/usr/local/adm/tcheck"
    > # define DATABASE_PATH   "/usr/local/adm/tcheck/databases"
    > #endif
    > */
    > 
    > #define CONFIG_PATH     "/tmp/genek"
    > #define DATABASE_PATH   "/tmp/genek"
Zur Installation wird folgendermaßen vorgegangen:
# cd tripwire-1.2
# make
# make install
Alle ausführbaren Programme werden unter /usr/local/bin installiert, die Manuals unter /usr/local/man.

Erzeugen eines Dateisystems auf der Referenzdiskette

Die Referenzdatenbank, Konfigurationsdatei und die ausführbaren Programme werden auf Diskette geschrieben. Diese Diskette wird anschließend mechanisch schreibgeschützt und readonly gemountet. Mit folgenden Befehlen werden das Filesystem auf der Diskette erzeugt und die entsprechende Directorystruktur angelegt:

# fdformat
...
# newfs /dev/rfd0c
# mkdir /tripwire
# mount /dev/fd0c /tripwire
# mkdir /tripwire/databases
# mkdir /tripwire/config
# cp /usr/local/bin/tripwire /tripwire/
# cp /usr/local/bin/siggen   /tripwire/
Damit die Diskette bereits beim Bootvorgang gemountet wird, muß folgende Zeile in der Datei /etc/fstab eingetragen werden:
/dev/fd0c  /tripwire 4.2 ro 0 6

Konfiguration von Tripwire

Tripwire wird durch eine einfache Syntax angewiesen, welche Dateien und Directories auf welche Änderungen hin überprüft werden sollen [23].

Ein Vorschlag für eine Konfigurationsdatei für diesen Firewall ist in Appendix A.11 aufgelistet (/tripwire/config/tw.config).

Erzeugen der Referenzdatenbank

Damit Änderungen am ursprünglichen Dateisystem erkannt werden können, muß einmalig eine Referenzdatenbank erzeugt werden:

# cd /tripwire
# ./tripwire -initialize
.
.
.
# cd /
# umount /tripwire
# eject
Anschließend die Diskette schreibschützen, ins Laufwerk einführen und readonly mounten:
# mount -a
Da zu Beginn des Betriebs eventuell noch kleine Änderungen an Dateien vorgenommen werden, muß in der Startphase die Referenzdatenbank öfters geändert werden. Hierzu sollte folgendermaßen vorgegangen werden:

Die Interfaces abschalten und die Maschine physikalisch vom Netzwerk abkoppeln:
# ifconfig -a down
Die Diskette auswerfen:
# cd /
# umount /tripwire
# eject
Schreibschutz ausschalten, ins Laufwerk einführen und mounten:
# mount /dev/fd0c /tripwire
# cd /tripwire
# ./tripwire -update <changed files>
...
# cd /
# umount /tripwire
# eject
Diskette schreibschützen, ins Laufwerk einführen und readonly mounten:
# mount -a
Die Maschine wieder ans Netzwerk anschließen:
# ifconfig -a up
Wenn die Konfigurationsdatei /tripwire/config/tw.config verändert werden muß, so muß an-schlie-ßend eine frische Initialisierung durchgeführt werden, ein einfaches Update ist dann nicht mehr möglich.

[previous] [up] [next]
Previous: Konfiguration zur automatischen Überwachung des Firewalls
Up: Implementation eines Firewalls
Next: Anhang

 

  DFN-CERT  > Sicherheit im DFN  > DFN-Berichte von DFN-CERT und DFN-PCA  > Publikationen : DFN-Bericht Nr. 78  > Implementation eines Firewalls  > Installation und Konfiguration von Tripwire
DFN-CERT - Zentrum für sichere Netzdienste GmbH
E-Mail info@dfn-cert.de -- Web http://www.dfn-cert.de/
Letzte Änderung dieser Seite: 14.11.2002