Tripwire bietet eine einfache Möglichkeit, die Integrität Ihres Systems zu überprüfen. Wichtige Voraussetzung und einziger Aufwand ist lediglich, dem Tool vorab alle Besonderheiten des vorliegenden Systems bekannt zu machen. Danach kann ein Cron-Job einen Großteil der restlichen Arbeit übernehmen – alles in allem ein gutes Sicherheitsnetz, um Eindringlingen und deren Machenschaften auf die Schliche zu kommen. Bei Tripwire handelt es sich um ein Host-basiertes IDS, das auf zu überwachenden Linux-Betriebssystemen installiert wird und seine Informationen aus den lokalen Logdateien, Kernel-Daten und anderen Systemdateien erhält. Das IDS überwacht all diese Informationen und meldet sich, sobald eine Veränderung auf diese Dateien erkannt wird. Die Meldungen erhalten Sie in einem selbst festgelegten Intervall als Bericht. Anschließend liegt es an Ihnen, diesen Bericht zu überprüfen und gegebenenfalls verdächtige Aktionen ausfindig zu machen.
Download und Installation von Tripwire
Zur Installation von Tripwire verwenden Sie am besten ein Terminal mit Administrationsrechten. Das folgende Beispiel beschreibt die Installation unter Ubuntu. Aktivieren Sie im ersten Schritt die interne Firewall des Ubuntu-Betriebssystems:
sudo ufw enable
Vor der Installation von Tripwire sollten Sie das Betriebssystem auf den neuesten Stand bringen:
sudo apt-get update
Führen Sie anschließend die Installation mittels des Standard-Repositories durch. Damit laden Sie die notwendigen Programmbibliotheken herunter.
sudo apt-get install tripwire
Während der Installation leitet Sie ein Assistent durch die verschiedenen Schritte. Zuerst konfigurieren Sie den E-Mail-Versand mittels Postfix. Dafür wählen Sie am besten die Option „Internet-Site“ aus und geben die E-Mail-Adresse an, mit der die Nachrichten verschickt werden sollen. Es handelt sich dabei allerdings nur um lokale Nachrichten, mit denen Sie als Administrator über mögliche Probleme informiert werden. Die komplette Konfiguration übernimmt Tripwire im Hintergrund für Sie. Falls Sie nähere Informationen zu Postfix und seiner Funktionsweise benötigen, empfehlen wir Ihnen den entsprechenden Artikel im Wiki von Ubuntuusers.
Tripwire benötigt für den Betrieb zwei Schlüsselpaare, die Sie bei der Einrichtung definieren, erstens einen Site-Schlüssel um Dateien zu schützen, die über mehrere Systeme hinweg verwendet werden, zweitens einen lokalen Schlüssel zum Schutz der Dateien, die zum entsprechenden Rechner gehören. Dazu zählt beispielsweise auch die Tripwire-Datenbank.
Während der Installation werden auch die Konfigurationsdateien generiert. Sie finden diese anschließend im Verzeichnis „/etc/tripwire“.
Einrichtung der Tripwire-Datenbank
Nachdem Sie das Programm installiert haben, geht es im nächsten Schritt an die Konfiguration der Datenbank auf dem Server. Starten Sie diese über den folgenden Befehl:
sudo tripwire –init
Geben Sie zuerst das zuvor festgelegte lokale Passwort ein. Tripwire generiert im nächsten Schritt die lokale Datenbank. Am Ende dieses Schrittes sehen Sie Fehlermeldungen von Dateien, die nicht mit der Standardkonfiguration der Tripwire-Datenbank übereinstimmen. Es handelt sich dabei in der Regel um Dateien, die Tripwire als Standard erwartet, die es jedoch auf Ihrem System nicht gefunden hat.
Um diese Fehlermeldungen für die kommenden Überprüfungen zu vermeiden, sollten Sie Tripwire diese Ausnahmen mitteilen. Dazu schreiben Sie am einfachsten die Fehlermeldungen in eine Datei und passen im Anschluss die Konfigurationsdatei an.
Um erst einmal eine Liste aller Fehlermeldungen zu erhalten, führen Sie im Terminal mit
tripwire --check
eine Integritätsprüfung aus. Am besten leiten Sie diese Ausgabe in eine Datei um. In unserem Beispiel trägt diese den Namen „meine_fehler“:
sudo sh -c 'tripwire --check | grep Filename > meine_fehler'
Sie finden diese Datei im aktuellen Verzeichnis, wo Sie im Terminal den Befehl abgesetzt haben. Öffnen Sie diese mit dem Standard-Texteditor. Sie finden dort in der Regel eine Liste von Einträgen vor, die fehlende Dateien oder Verzeichnisse auflisten. Tripwire hinterlegt seine Regeln für die Prüfung in der Datei „twpol.txt“. Suchen Sie in dieser nach den entsprechenden Objekten, die einen Fehler generiert haben, und kommentieren Sie diese mittels Hash-Zeichen (#) aus. Finden Sie beispielsweise die Fehlermeldung
Filename: /etc/rc.boot
in Ihrer Ausgabedatei, dann kommentieren Sie die folgende Zeile aus:
#/etc/rc.boot -> $(SEC_BIN) ;
Wiederholen Sie dies analog für alle Einträge innerhalb der Ausgabe „meine_fehler“, und speichern Sie am Ende die Datei „twpol.txt“ ab. Um Tripwire über die geänderte Konfigurationsdatei aktiv zu informieren, schließen Sie mit diesem Befehl
sudo twadmin -m P /etc/tripwire/twpol.txt
die Konfigurationsarbeit ab.
Prüfen Sie Ihr System auf Änderungen
Nachdem Tripwire nun die Besonderheiten Ihrer Linux-Installation kennt, sollten bei einer anschließenden Überprüfung keine weiteren Fehlermeldungen mehr auftreten. Sie können dies am einfachsten kontrollieren, indem Sie einen erneuten Kontrolllauf starten. Nutzen Sie hierfür am besten den interaktiven Modus von Tripwire.
tripwire --check –interactive
Sie erhalten als Ergebnis einen Bericht, der direkt im Editor vi geöffnet wird.
Prüfen Sie Ihren Computer am besten täglich auf Veränderungen. Sie müssen nicht jedes Mal Tripwire manuell starten, sondern nutzen dafür am besten einen Cron-Job und planen die Überprüfung im Hintergrund ein. In Ubuntu oder Linux Mint steht Ihnen für die Einplanung der Cron-Jobs das grafische Hilfsmittel „Geplante Aufgaben“ zur Verfügung. Sollten Sie dies aktuell noch nicht installiert haben, lässt es sich problemlos über die Kommandozeile einrichten:
sudo apt-get install gnome-schedule
Anschließend richten Sie über die Schaltfläche „Neu“ den täglichen Tripwire-Check mit den gewünschten Parametern ein – im einfachsten Fall mit dem Befehl „tripwire -check“.
Damit sind Sie immer automatisch im Bilde, ob sich an Ihrem System Veränderungen ereignet haben. In den meisten Fällen handelt es sich um selbst installierte Anwendungen, die noch nicht in der Datenbank hinterlegt wurden. Deswegen passen Sie diese nach jedem Prüfreport entsprechend an, um diese Fehlermeldungen künftig auszufiltern.
(PC-Welt/ad)