Schutz vor Eindringlingen

Tripwire: Sicherheitslücken am Server schnell aufdecken

Einrichtung der Tripwire-Datenbank

Nachdem Sie das Programm installiert haben, geht es im nächsten Schritt an die Konfiguration der Datenbank auf dem Server. Starten Sie diese über den folgenden Befehl:

sudo tripwire –init

Geben Sie zuerst das zuvor festgelegte lokale Passwort ein. Tripwire generiert im nächsten Schritt die lokale Datenbank. Am Ende dieses Schrittes sehen Sie Fehlermeldungen von Dateien, die nicht mit der Standardkonfiguration der Tripwire-Datenbank übereinstimmen. Es handelt sich dabei in der Regel um Dateien, die Tripwire als Standard erwartet, die es jedoch auf Ihrem System nicht gefunden hat.

Um diese Fehlermeldungen für die kommenden Überprüfungen zu vermeiden, sollten Sie Tripwire diese Ausnahmen mitteilen. Dazu schreiben Sie am einfachsten die Fehlermeldungen in eine Datei und passen im Anschluss die Konfigurationsdatei an.

Um erst einmal eine Liste aller Fehlermeldungen zu erhalten, führen Sie im Terminal mit

tripwire --check

eine Integritätsprüfung aus. Am besten leiten Sie diese Ausgabe in eine Datei um. In unserem Beispiel trägt diese den Namen „meine_fehler“:

sudo sh -c 'tripwire --check | grep Filename > meine_fehler'

Sie finden diese Datei im aktuellen Verzeichnis, wo Sie im Terminal den Befehl abgesetzt haben. Öffnen Sie diese mit dem Standard-Texteditor. Sie finden dort in der Regel eine Liste von Einträgen vor, die fehlende Dateien oder Verzeichnisse auflisten. Tripwire hinterlegt seine Regeln für die Prüfung in der Datei „twpol.txt“. Suchen Sie in dieser nach den entsprechenden Objekten, die einen Fehler generiert haben, und kommentieren Sie diese mittels Hash-Zeichen (#) aus. Finden Sie beispielsweise die Fehlermeldung

Filename: /etc/rc.boot

in Ihrer Ausgabedatei, dann kommentieren Sie die folgende Zeile aus:

#/etc/rc.boot -> $(SEC_BIN) ;

Wiederholen Sie dies analog für alle Einträge innerhalb der Ausgabe „meine_fehler“, und speichern Sie am Ende die Datei „twpol.txt“ ab. Um Tripwire über die geänderte Konfigurationsdatei aktiv zu informieren, schließen Sie mit diesem Befehl

sudo twadmin -m P /etc/tripwire/twpol.txt

die Konfigurationsarbeit ab.