Hlavní navigace

Tripwire - ohlídejte si váš systém

Marek Wünsch

Dnes bude řeč hlavně o základních funkcích programu Tripwire a o tom, jak se dá s jeho pomocí realizovat kontrola integrity systému. Zaměříme se na to, jak a kde se Tripwire konfiguruje, jak se dá vytvořit databáze a kam ji uložit, aby ji nikdo nepovolaný nemohl upravit, a jakým způsobem nejlépe Tripwire používat. Také se stručně dozvíte, jak si nechat posílat emailem výpis z pravidelné kontroly.

Úvod

Programu Tripwire existuje několik verzí pod různými licencemi a pro různé operační systémy, já se budu zabývat verzí pro Linux (pod GPL) – Tripwire v2.3.

Cílem mého snažení bylo, aby na serveru, o který se starám, fungoval systém, který je schopen kontrolovat důležité soubory, a pravidelně mi posílal emailem informace o tom, zda se něco změnilo. Tak bych měl být schopen poznat, že se do systému dostal někdo, kdo tam nemá co dělat. Je jasné, že při instalaci nebo upgradu balíčků bude docházet k falešným poplachům, ale při normálním běhu by se to dít nemělo. Jak jsem později zjistil, může být Tripwire velmi užitečný u počítače, kde má práva administrátora více lidí. Máte pak alespoň přehled, co se kde změnilo, a také s jistotou poznáte, pokud někdo nainstaloval třeba nový program nebo vyměnil ovladač.

Někde jsem se dočetl, že rozumné uspořádání Tripwiru je následující: Na serveru, který chci hlídat, je Tripwire pravidelně spouštěn cronem, třeba jednou za den. Databáze, kde jsou informace o stavu souborů, je uložena na nějakém read-only médiu, ale občas (při updatu databáze) je nutné na něj povolit zápis. Nabízí se třeba disketa, ale tam je potřeba mít k hlídanému serveru fyzický přístup. Další možnost je použít pro databázi sdílený adresář (třeba přes NFS) z jiného počítače. Když už tak dbáme o bezpečnost systému, že instalujeme Tripwire, dá se určitě položit otázka, jestli je rozumné tam zavést potenciálně nebezpečnou službu, jako je SunRPC/NFS. Asi by bylo lepší použít něco jiného, co umožňuje read-only mountování adresáře (snad AFS). Já jsem nakonec zvolil NFS pro jeho jednoduchou a bezproblémovou instalaci.

Instalace

Používám Debian (woody), takže balíčky jsem sehnal na oficiálním serveru a nemusel jsem se zdržovat kompilací. Při konfiguraci balíčku bude nutné nastavit dvě hesla, jedno „local“ a jedno „site“. Ta jsou potřeba později při různých manipulacích s konfiguračními soubory nebo s databází.

Vytvoření databáze

Nejdříve je potřeba upravit konfigurační soubor Tripwiru. Nachází se v /etc/tripwire/tw­.cfg, ale jeho čitelná verze je v /etc/tripwire/twcfg­.txt. Já jsem tam změnil položku DBFILE, která určuje, kde je uložena databáze, a položku REPORTFILE pro ukládání výsledků kontroly integrity. Konkrétně:

DBFILE =/mnt/muj_pocitac/tripwire/$(HOSTNAME).twd
REPORTFILE =/pub/admin/tripwire/report/$(HOSTNAME)-$(DATE).twr

Pozn.: V /mnt/muj_pocitac je přes NFS vyexportovaný a namountovaný jeden adresář ze vzdáleného stroje.

Pak se ze souboru twcfg.txt vytvoří binární tw.cfg, kterému rozumí Tripwire:

twadmin –create-cfgfile –site-keyfile site.key twcfg.txt

V tuto chvíli už po vás program bude chtít site passphrase.

Stejně tak se dá z binárního tw.cfg vytvořit textový twcfg.txt:

twadmin --print-cfgfile > twcfg.txt

To, jaké soubory (resp. jejich datumy, kontrolní součty a plno dalších informací) se uloží do databáze, záleží na nastavení policy v souboru twpol.txt a jeho binárním bratříčkovi tw.pol. Je tam seznam všech souborů a adresářů, které se mají kontrolovat. A také informace o tom, co všechno se má u nich kontrolovat.

Po instalaci tam už je jakýsi default policy soubor. Navíc se nějaké příklady dají nalézt v /usr/share/doc/trip­wire/examples, nebo možná u jiných distribucí někde jinde. Já jsem tam našel ještě verzi pro Debian a pro RedHat 7.0. Soubor /etc/tripwire/twpol­.txt je opět potřeba přeložit na binární tw.pol:

twadmin --create-polfile --site-keyfile site.key twpol.txt

Pokud použijete některý example, tak se připravte na to, že dost souborů, které tam jsou nastaveny pro hlídání, se ve vašem systému vůbec vyskytovat nebude. Případně bude, ale v jiných adresářích, což je ještě horší, protože je bude potřeba najít a změnit u nich cestu v twpol.txt. Pokud si věříte, že jste si dobře vědomi toho, co je potřeba hlídat, tak je lepší si vytvořit vlastní seznam souborů.

Nakonec tedy už můžete vytvořit databázi:

/usr/sbin/tripwire --init

Program po vás bude chtít local passphrase a připravte se na to, že vytvoření databáze chvíli potrvá.

Kontrola systému

Teď už můžete zkusit provést kontrolu integrity systému. Stačí vám na to mít read-only přístup k databázi a zadat:

/usr/sbin/tripwire --check

Tripwire přitom vypíše informace o změnách na stdout a také vytvoří report soubor, který uloží tam, kde to máte nastaveno v /etc/tw.cfg. Report je opět binární a můžete se na něj podívat pomocí twprint:

/usr/sbin/twprint --print-report -r report_soubor

Report soubor je navíc potřeba při updatu databáze, což ze začátku budete dělat hodně často. Nejspíš do té doby, než se vám podaří vyladit policy natolik, aby se hlídalo jen to, co je potřeba, a nehlásil se vám třeba každý zápis do nějakého log souboru.

Posílání reportu emailem

Pokud spouštíte kontrolu pomocí cronu (deb balíček vytvoří soubor /etc/cron.dai­ly/tripwire), tak vám nejspíš výpis na stdout přijde automaticky mailem. Tripwire má ale také vlastní systém, jak posílat mailem informace o změnách. Dá se říci, že u každého kontrolovaného souboru, adresáře nebo jejich skupiny můžete nastavit email(y), kam se bude posílat výpis v případě jejich změny. Nastavuje se to v policy a je potřeba si k tomu přečíst manuálovou stránku (man twpolicy). Způsob, jakým se bude mail posílat (SMTP nebo sendmail), se určuje v tw.cfg (man twconfig).

Update databáze

Obvykle je po tom, co uděláte nějaký zásah do systému, potřeba udělat příslušné změny v databázi, abyste při každé kontrole nebyli zahlceni výpisy změn, které jste provedli vy, a neuniklo vám tak něco důležitého. Databáze se updatuje vždy vzhledem k nějakému report souboru.

Způsob, jakým provádějte změny systému, je následující:

  1. Spusťte kontrolu z databáze
  2. Prohlédněte si report, nemělo by tam být nic podezřelého
  3. Udělejte potřebný zásah (např. nainstalujte balíček, přidejte uživatele, …)
  4. Znovu zkontrolujte systém z databáze
  5. Pečlivě si prohlédněte report (často je poučné vidět, co všechno se změnilo)
  6. Udělejte update databáze (použiji při tom poslední report)

Takhle máte celkem slušnou jistotu, že jste do updatu databáze zahrnuli jenom ty změny, které jste udělali vy sami.

Pro update budete potřebovat povolení zápisu do databáze. Parametry pro Tripwire jsou následující:

/usr/sbin/tripwire --update -r report_soubor

Ve vašem editoru (viz /etc/tripwire/tw­.cfg) se vám otevře seznam toho, co všechno se změnilo. U každé položky je křížek [x], který tam buď necháte, nebo ho nahradíte mezerou, a tím určíte, zda se daná změna uloží do databáze. Default volba je provést všechny změny. Soubor tedy uložíte a editor ukončíte (ve „vi“ např pomocí „shift+zz“). Tripwire se vás ještě zeptá na local passphrase a změny provede.

Změna konfiguračního souboru

Je možné, že někdy budete chtít změnit nastavení v tw.cfg. Stačí na to upravit /etc/tripwire/twcfg­.txt a stejně jako předtím spustit:

twadmin –create-cfgfile –site-keyfile site.key twcfg.txt

Pozn.: Program po vás bude chtít site passphrase.

Změna policy souboru

Stejně tak určitě budete chtít měnit seznam toho, co se má kontrolovat. Upravíte soubor /etc/tripwire/twpol­.txt a spustíte

tripwire --update-policy --secure-mode low twpol.txt

Při tom se zcela logicky celá databáze vytvoří znovu, takže ji potom nebudete muset updatovat. Z toho je vidět, že změna policy je poměrně nebezpečná a měli byste mít jistotu, že v danou chvíli není systém kompromitovaný. Pozn.: Pro změnu policy je potřeba site i local passphrase.

Doporučení na závěr

  1. Rozhodně je dobré si přečíst manuálové stránky:
    man tripwire
    man twadmin
    man twconfig
    man twpolicy
    man twprint
  2. Textové soubory twcfg.txt a twpol.txt doporučuji po jejich převedení do binární polohy mazat. Vždy je totiž můžete vytvořit znovu a nemusíte se zabývat tím, jestli v nich někdo něco nezměnil. Sice byste je měli mít hlídané Tripwirem, ale vy sami je občas budete měnit, a tak by se informace o jejich modifikaci někým jiným dala lehce přehlédnout. Pokud by někdo chtěl změnit binární policy a config, musel by nejdříve obejít kontrolu hesla, což určitě lze, ale je to další dobrá překážka pro potenciálního crackera.
  3. Nejspíš si časem vytvoříte nějaké skripty na spouštění tripwiru (nebo třeba použijete ty moje). V každé případě nezapomeňte přidat do policy také jejich kontrolu.
Našli jste v článku chybu?

21. 4. 2005 16:24

Hynek (neregistrovaný)
zadny server system se nedela nedobytny, pokud k nemu mate fyzicky pristup. Tudiz pro admina neni problem neco sse systemem, pokud k nemu ma fyzycky pristup. Navic se okamzite prunik odhali - > neni duvod, aby to utocnik delal.

21. 5. 2004 11:49

thailon (neregistrovaný)

Nie som admin a som zaciatocnik, no chcem sa spytat, ze ak by niekto ziskal heslo roota a islo by mu o hack sluzieb (napr web.), naco by mal upravovat a klamat reportami admina ked staci ze zablokuje pristup userom a prestavi si pristupove prava tak, ze sa tam povodny admin nedostane ?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: „Black Friday 2016“: závěrečné zhodnocení

„Black Friday 2016“: závěrečné zhodnocení

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?