TRIPWIRE HOWTO

[pompado]

Detta är en Tripwire HOWTO.
Kan en moderator flytta den här tråden till guider i detta forum.

[pompado]

Rensa detta inlägg - se howto längre ned på sidan.

[pompado]

Nu rensar jag köks datorn med ny installation.
Här är två bra länkar om Tripwire.

https://www.digitalocean.com/community/ ... ubuntu-vps

http://www.linuxjournal.com/article/8758

[pompado]

Jag har kört fast i början av installationen och är lite osäker.
Det är e-post configurationen.

Först frågar Tripwire om jag vill gör e-post configuration och jag säger JA



Sedan frågar den hur och jag väljer Internet system.
För det har jag läst på andra ställen att man ska göra.



Nu kommer vi till den del jag är lite osäker.
Jag uppfattar det som att det är min e-post adress jag ska skriva.
Är det korrekt? Eller har jag gort fel här?

[pompado]

Får man ingen hjälp, så får man googla LOL
Hitta en sida med ett exempel och nu förstår jag.

Om min email adress är sara@hotmail.com ,,, så ska jag bara skriva hotmail.com



Det blir nog en guide till slut :-)

[pompado]

Nu ska jag börja ändra och modifiera tripwire och då behöver jag en text editor.
Jag gillar inte svart ruta med text, så jag installerar vim med gui.

Kod: Markera allt

sudo apt-get install vim vim-scripts vim-doc vim-latexsuite vim-gui-common vim-gtk

För att köra vim med gui så ska du skriva gvim i terminalen.
Enkelt, nu behöver du inte lära dig alla commandon med en okänd editor som du inte känner till.
Med vim gui så går du bara in i arkiv och väljer spara.

[Gunnar Hjalmarsson]

Får man ingen hjälp, så får man googla LOL

Kan inte låta bli...

Du har fått det där om bakfoten. Man försöker först, t ex genom att "googla". Sedan ber man om hjälp, om man behöver.

[pompado]

När man kör Tripwire installationen, så säger dom att det kommer en massa fel, error meddelanden om filer som inte finns eller behövs kontrolleras.
Dom ska man ta bort genom att sätta ett # tecken framför för att få en ren Tripwire installation som passar ditt Ubuntu.

Öppna filen twpol.txt och kunde inte hitta error meddelanden.
Trots jag fick dom vid intallationen.

Så jag har kört fast och ska försöka lösa denna bit.

Kod: Markera allt

# 
 # Standard Debian Tripwire configuration 
 # 
 # 
 # This configuration covers the contents of all 'Essential: yes' 
 # packages along with any packages necessary for access to an internet 
 # or system availability, e.g. name services, mail services, PCMCIA 
 # support, RAID support, and backup/restore support. 
 # 
  
 # 
 # Global Variable Definitions 
 # 
 # These definitions override those in to configuration file.  Do not          
 # change them unless you understand what you're doing. 
 # 
  
 @@section GLOBAL 
 TWBIN = /usr/sbin; 
 TWETC = /etc/tripwire; 
 TWVAR = /var/lib/tripwire; 
  
 # 
 # File System Definitions 
 # 
 @@section FS 
  
 # 
 # First, some variables to make configuration easier 
 # 
 SEC_CRIT      = $(IgnoreNone)-SHa ; # Critical files that cannot change 
  
 SEC_BIN       = $(ReadOnly) ;        # Binaries that should not change 
  
 SEC_CONFIG    = $(Dynamic) ;         # Config files that are changed 
 		        # infrequently but accessed 
 		        # often 
  
 SEC_LOG       = $(Growing) ;         # Files that grow, but that 
 			             # should never change ownership 
  
 SEC_INVARIANT = +tpug ;              # Directories that should never 
 		        # change permission or ownership 
  
 SIG_LOW       = 33 ;                 # Non-critical files that are of 
 				     # minimal security impact 
  
 SIG_MED       = 66 ;                 # Non-critical files that are of 
 				     # significant security impact 
  
 SIG_HI        = 100 ;                # Critical files that are 
 				     # significant points of 
 				     # vulnerability 
  
 # 
 # Tripwire Binaries 
 # 
 ( 
   rulename = "Tripwire Binaries", 
   severity = $(SIG_HI) 
 ) 
 { 
 	$(TWBIN)/siggen			-> $(SEC_BIN) ; 
 	$(TWBIN)/tripwire		-> $(SEC_BIN) ; 
 	$(TWBIN)/twadmin		-> $(SEC_BIN) ; 
 	$(TWBIN)/twprint		-> $(SEC_BIN) ; 
 } 
  
 # 
 # Tripwire Data Files - Configuration Files, Policy Files, Keys, 
 # Reports, Databases 
 # 
  
 # NOTE: We remove the inode attribute because when Tripwire creates a 
 # backup, it does so by renaming the old file and creating a new one 
 # (which will have a new inode number).  Inode is left turned on for 
 # keys, which shouldn't ever change. 
  
 # NOTE: The first integrity check triggers this rule and each 
 # integrity check afterward triggers this rule until a database update 
 # is run, since the database file does not exist before that point. 
 ( 
   rulename = "Tripwire Data Files", 
   severity = $(SIG_HI) 
 ) 
 { 
 	$(TWVAR)/$(HOSTNAME).twd	-> $(SEC_CONFIG) -i ; 
 	$(TWETC)/tw.pol			-> $(SEC_BIN) -i ; 
 	$(TWETC)/tw.cfg			-> $(SEC_BIN) -i ; 
 	$(TWETC)/$(HOSTNAME)-local.key	-> $(SEC_BIN) ; 
 	$(TWETC)/site.key		-> $(SEC_BIN) ; 
  
 	#don't scan the individual reports 
 	$(TWVAR)/report			-> $(SEC_CONFIG) (recurse=0) ; 
 } 
  
 # 
 # Critical System Boot Files 
 # These files are critical to a correct system boot. 
 # 
 ( 
   rulename = "Critical system boot files", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/boot			-> $(SEC_CRIT) ; 
 	/lib/modules		-> $(SEC_CRIT) ; 
 } 
  
 ( 
   rulename = "Boot Scripts", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/etc/init.d		-> $(SEC_BIN) ; 
 	/etc/rc.boot		-> $(SEC_BIN) ; 
 	/etc/rcS.d		-> $(SEC_BIN) ; 
 	/etc/rc0.d		-> $(SEC_BIN) ; 
 	/etc/rc1.d		-> $(SEC_BIN) ; 
 	/etc/rc2.d		-> $(SEC_BIN) ; 
 	/etc/rc3.d		-> $(SEC_BIN) ; 
 	/etc/rc4.d		-> $(SEC_BIN) ; 
 	/etc/rc5.d		-> $(SEC_BIN) ; 
 	/etc/rc6.d		-> $(SEC_BIN) ; 
 } 
  
  
 # 
 # Critical executables 
 # 
 ( 
   rulename = "Root file-system executables", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/bin			-> $(SEC_BIN) ; 
 	/sbin			-> $(SEC_BIN) ; 
 } 
  
 # 
 # Critical Libraries 
 # 
 ( 
   rulename = "Root file-system libraries", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/lib			-> $(SEC_BIN) ; 
 } 
  
  
 # 
 # Login and Privilege Raising Programs 
 # 
 ( 
   rulename = "Security Control", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/etc/passwd		-> $(SEC_CONFIG) ; 
 	/etc/shadow		-> $(SEC_CONFIG) ; 
 } 
  
  
  
  
 # 
 # These files change every time the system boots 
 # 
 ( 
   rulename = "System boot changes", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/var/lock		-> $(SEC_CONFIG) ; 
 	/var/run		-> $(SEC_CONFIG) ; # daemon PIDs 
 	/var/log		-> $(SEC_CONFIG) ; 
 } 
  
 # These files change the behavior of the root account 
 ( 
   rulename = "Root config files", 
   severity = 100 
 ) 
 { 
 	/root				-> $(SEC_CRIT) ; # Catch all additions to /root 
 	/root/mail			-> $(SEC_CONFIG) ; 
 	/root/Mail			-> $(SEC_CONFIG) ; 
 	/root/.xsession-errors		-> $(SEC_CONFIG) ; 
 	/root/.xauth			-> $(SEC_CONFIG) ; 
 	/root/.tcshrc			-> $(SEC_CONFIG) ; 
 	/root/.sawfish			-> $(SEC_CONFIG) ; 
 	/root/.pinerc			-> $(SEC_CONFIG) ; 
 	/root/.mc			-> $(SEC_CONFIG) ; 
 	/root/.gnome_private		-> $(SEC_CONFIG) ; 
 	/root/.gnome-desktop		-> $(SEC_CONFIG) ; 
 	/root/.gnome			-> $(SEC_CONFIG) ; 
 	/root/.esd_auth			-> $(SEC_CONFIG) ; 
 	/root/.elm			-> $(SEC_CONFIG) ; 
 	/root/.cshrc		        -> $(SEC_CONFIG) ; 
 	/root/.bashrc			-> $(SEC_CONFIG) ; 
 	/root/.bash_profile		-> $(SEC_CONFIG) ; 
 	/root/.bash_logout		-> $(SEC_CONFIG) ; 
 	/root/.bash_history		-> $(SEC_CONFIG) ; 
 	/root/.amandahosts		-> $(SEC_CONFIG) ; 
 	/root/.addressbook.lu		-> $(SEC_CONFIG) ; 
 	/root/.addressbook		-> $(SEC_CONFIG) ; 
 	/root/.Xresources		-> $(SEC_CONFIG) ; 
 	/root/.Xauthority		-> $(SEC_CONFIG) -i ; # Changes Inode number on login 
 	/root/.ICEauthority		    -> $(SEC_CONFIG) ; 
 } 
  
 # 
 # Critical devices 
 # 
 ( 
   rulename = "Devices & Kernel information", 
   severity = $(SIG_HI), 
 ) 
 { 
 	/dev		-> $(Device) ; 
 	/proc		-> $(Device) ; 
 } 
  
 # 
 # Other configuration files 
 # 
 ( 
   rulename = "Other configuration files", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/etc		-> $(SEC_BIN) ; 
 } 
  
 # 
 # Binaries 
 # 
 ( 
   rulename = "Other binaries", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/usr/local/sbin	-> $(SEC_BIN) ; 
 	/usr/local/bin	-> $(SEC_BIN) ; 
 	/usr/sbin	-> $(SEC_BIN) ; 
 	/usr/bin	-> $(SEC_BIN) ; 
 } 
  
 # 
 # Libraries 
 # 
 ( 
   rulename = "Other libraries", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/usr/local/lib	-> $(SEC_BIN) ; 
 	/usr/lib	-> $(SEC_BIN) ; 
 } 
  
 # 
 # Commonly accessed directories that should remain static with regards 
 # to owner and group 
 # 
 ( 
   rulename = "Invariant Directories", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/home		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/tmp		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/usr		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/var		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/var/tmp	-> $(SEC_INVARIANT) (recurse = 0) ; 
 }

[pompado]

Nu har jag förstått hur man gör för att se vilka filer som ska bort.
Ska fortsätta lära mig och återkommer senare med en guide för nybörjare.

Cheers

[pompado]

TRIPWIRE HOWTO

Tripwire är ett "intrusion dectection system" ... det betyder att Tripwire lägger märke till om någon bryter sig in i din dator.
Men Tripwire förhindrar inte ett intrång i din dator, utan visar dig var, när och hur det skett.

Tripwire ger varje existerande fil på ditt operativ en nyckel eller algoritm och lagrar all denna information i en databas.
Sedan om någon gör intrång och ändrar någon fil, så noterar Tripwire detta.

Tripwire är som en spindel som väver in hela ditt operativ i spindelnät och fångar alla förändringar som sker.

FÖRSTA DELEN AV INSTALLATIONEN:

Först så måste du göra en ny installation av ditt Ubuntu från scratch.
Utan internet uppkoppling.

Sedan när du startar systemet så aktiverar du din brandvägg.
Öppna terminalen och skriv följande:

Kod: Markera allt

sudo ufw enable

Nu kan du koppla up dig med internet och installera Tripwire.

Kod: Markera allt

sudo apt-get update

Sedan ...

Kod: Markera allt

sudo apt-get install tripwire

Här svarar du JA för att konfa epost



Här väljer du internetsystem och svarar JA



Här skriver du in vilken typ av epost du har ... hotmail.com eller gmail.com eller annat ...



Här svarar du JA för att installera Tripwire och dess två säkerhetsnycklar.
Under installation processen kommer Tripwire ställa en massa frågor och du ska svara JA på samtliga.

Du bör ha två bra lösenord till hands, vilka du behöver under installationen för ”site” och ”local” key.
Det är säkerhets-nycklar eller lösenord som kommer skydda ditt Tripwire och tillåta dig göra ändringar och updatera Tripwire.

[pompado]

ANDRA DELEN AV INSTALLATIONEN

Nu ska Tripwire vara installerat och du kan nu installera Tripwires databas.
Det är den som har koll på hela systemet och alla filer.

Tripwire databas kommer kolla ditt system och lägga till det i sin databas.
Det kan hända att det finns filer som inte existerar och då kommer Tripwire ge massa fel-meddelanden när du installerar databasen.

Men det gör inget för dom ska vi ta bort, för vi ska skräddarsy Tripwires databas att passa just ditt system, som handen i handsken.
Med detta exempel så kör jag Ubuntu 12.04 LTS.

Kör följande kod:

Kod: Markera allt

sudo tripwire --init

Som du säkert såg så fick du i slutet en massa error meddelanden.
Dom ska vi nu ta bort och skräddarsy databasen att passa ditt Linux system.

Först så kan vi skapa en lista över alla fel-meddelanden vi fick, så vi vet vilka filer vi ska ta bort.
Det gör vi genom att skapa en "test_results" fil.

Skriv följande:

Kod: Markera allt

sudo sh -c 'tripwire --check | grep Filename > test_results'

Du hittar filen i Home katalogen eller i /etc/tripwire
Med mitt Ubuntu 12.04 LTS så hitta jag filen "test_results" i home katalogen.

Nu kan du klicka på den filen och så kommer den att öppnas upp med gedit automatiskt.
Så här ser filen ut:

Kod: Markera allt

    Filename: /etc/rc.boot
     Filename: /root/mail
     Filename: /root/Mail
     Filename: /root/.xsession-errors
     Filename: /root/.xauth
     Filename: /root/.tcshrc
     Filename: /root/.sawfish
     Filename: /root/.pinerc
     Filename: /root/.mc
     Filename: /root/.gnome_private
     Filename: /root/.gnome-desktop
     Filename: /root/.gnome
     Filename: /root/.esd_auth
     Filename: /root/.elm
     Filename: /root/.cshrc
     Filename: /root/.bash_profile
     Filename: /root/.bash_logout
     Filename: /root/.bash_history
     Filename: /root/.amandahosts
     Filename: /root/.addressbook.lu
     Filename: /root/.addressbook
     Filename: /root/.Xresources
     Filename: /root/.Xauthority
     Filename: /root/.ICEauthority
     Filename: /proc/4116/fd/3
     Filename: /proc/4116/fdinfo/3
     Filename: /proc/4116/task/4116/fd/3
     Filename: /proc/4116/task/4116/fdinfo/3

Alla dessa filer gav dig ett fel-meddelande när du installera databasen.
Nu ska vi ta bort dessa onödiga filer.

För detta ska vi använda text editor Nano.
För att spara en föändring i Nano trycker man "ctrl o" och sedan Enter.
För att stänga Nano trycker man "ctrl x"
Det är bara dom twå commandon du behöver veta för att köra Nano.

Nu ska vi öppna filen twpol.txt som innehåller mappen med alla filer som ska kontrolleras av Tripwire, The Policy file.

Skriv följande:

Kod: Markera allt

sudo nano /etc/tripwire/twpol.txt

Så här ser filen ut ...

Kod: Markera allt

  

 # 
 # Standard Debian Tripwire configuration 
 # 
 # 
 # This configuration covers the contents of all 'Essential: yes' 
 # packages along with any packages necessary for access to an internet 
 # or system availability, e.g. name services, mail services, PCMCIA 
 # support, RAID support, and backup/restore support. 
 # 
  
 # 
 # Global Variable Definitions 
 # 
 # These definitions override those in to configuration file.  Do not          
 # change them unless you understand what you're doing. 
 # 
  
 @@section GLOBAL 
 TWBIN = /usr/sbin; 
 TWETC = /etc/tripwire; 
 TWVAR = /var/lib/tripwire; 
  
 # 
 # File System Definitions 
 # 
 @@section FS 
  
 # 
 # First, some variables to make configuration easier 
 # 
 SEC_CRIT      = $(IgnoreNone)-SHa ; # Critical files that cannot change 
  
 SEC_BIN       = $(ReadOnly) ;        # Binaries that should not change 
  
 SEC_CONFIG    = $(Dynamic) ;         # Config files that are changed 
 		        # infrequently but accessed 
 		        # often 
  
 SEC_LOG       = $(Growing) ;         # Files that grow, but that 
 			             # should never change ownership 
  
 SEC_INVARIANT = +tpug ;              # Directories that should never 
 		        # change permission or ownership 
  
 SIG_LOW       = 33 ;                 # Non-critical files that are of 
 				     # minimal security impact 
  
 SIG_MED       = 66 ;                 # Non-critical files that are of 
 				     # significant security impact 
  
 SIG_HI        = 100 ;                # Critical files that are 
 				     # significant points of 
 				     # vulnerability 
  
 # 
 # Tripwire Binaries 
 # 
 ( 
   rulename = "Tripwire Binaries", 
   severity = $(SIG_HI) 
 ) 
 { 
 	$(TWBIN)/siggen			-> $(SEC_BIN) ; 
 	$(TWBIN)/tripwire		-> $(SEC_BIN) ; 
 	$(TWBIN)/twadmin		-> $(SEC_BIN) ; 
 	$(TWBIN)/twprint		-> $(SEC_BIN) ; 
 } 
  
 # 
 # Tripwire Data Files - Configuration Files, Policy Files, Keys, 
 # Reports, Databases 
 # 
  
 # NOTE: We remove the inode attribute because when Tripwire creates a 
 # backup, it does so by renaming the old file and creating a new one 
 # (which will have a new inode number).  Inode is left turned on for 
 # keys, which shouldn't ever change. 
  
 # NOTE: The first integrity check triggers this rule and each 
 # integrity check afterward triggers this rule until a database update 
 # is run, since the database file does not exist before that point. 
 ( 
   rulename = "Tripwire Data Files", 
   severity = $(SIG_HI) 
 ) 
 { 
 	$(TWVAR)/$(HOSTNAME).twd	-> $(SEC_CONFIG) -i ; 
 	$(TWETC)/tw.pol			-> $(SEC_BIN) -i ; 
 	$(TWETC)/tw.cfg			-> $(SEC_BIN) -i ; 
 	$(TWETC)/$(HOSTNAME)-local.key	-> $(SEC_BIN) ; 
 	$(TWETC)/site.key		-> $(SEC_BIN) ; 
  
 	#don't scan the individual reports 
 	$(TWVAR)/report			-> $(SEC_CONFIG) (recurse=0) ; 
 } 
  
 # 
 # Critical System Boot Files 
 # These files are critical to a correct system boot. 
 # 
 ( 
   rulename = "Critical system boot files", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/boot			-> $(SEC_CRIT) ; 
 	/lib/modules		-> $(SEC_CRIT) ; 
 } 
  
 ( 
   rulename = "Boot Scripts", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/etc/init.d		-> $(SEC_BIN) ; 
 	/etc/rc.boot		-> $(SEC_BIN) ; 
 	/etc/rcS.d		-> $(SEC_BIN) ; 
 	/etc/rc0.d		-> $(SEC_BIN) ; 
 	/etc/rc1.d		-> $(SEC_BIN) ; 
 	/etc/rc2.d		-> $(SEC_BIN) ; 
 	/etc/rc3.d		-> $(SEC_BIN) ; 
 	/etc/rc4.d		-> $(SEC_BIN) ; 
 	/etc/rc5.d		-> $(SEC_BIN) ; 
 	/etc/rc6.d		-> $(SEC_BIN) ; 
 } 
  
  
 # 
 # Critical executables 
 # 
 ( 
   rulename = "Root file-system executables", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/bin			-> $(SEC_BIN) ; 
 	/sbin			-> $(SEC_BIN) ; 
 } 
  
 # 
 # Critical Libraries 
 # 
 ( 
   rulename = "Root file-system libraries", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/lib			-> $(SEC_BIN) ; 
 } 
  
  
 # 
 # Login and Privilege Raising Programs 
 # 
 ( 
   rulename = "Security Control", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/etc/passwd		-> $(SEC_CONFIG) ; 
 	/etc/shadow		-> $(SEC_CONFIG) ; 
 } 
  
  
  
  
 # 
 # These files change every time the system boots 
 # 
 ( 
   rulename = "System boot changes", 
   severity = $(SIG_HI) 
 ) 
 { 
 	/var/lock		-> $(SEC_CONFIG) ; 
 	/var/run		-> $(SEC_CONFIG) ; # daemon PIDs 
 	/var/log		-> $(SEC_CONFIG) ; 
 } 
  
 # These files change the behavior of the root account 
 ( 
   rulename = "Root config files", 
   severity = 100 
 ) 
 { 
 	/root				-> $(SEC_CRIT) ; # Catch all additions to /root 
 	/root/mail			-> $(SEC_CONFIG) ; 
 	/root/Mail			-> $(SEC_CONFIG) ; 
 	/root/.xsession-errors		-> $(SEC_CONFIG) ; 
 	/root/.xauth			-> $(SEC_CONFIG) ; 
 	/root/.tcshrc			-> $(SEC_CONFIG) ; 
 	/root/.sawfish			-> $(SEC_CONFIG) ; 
 	/root/.pinerc			-> $(SEC_CONFIG) ; 
 	/root/.mc			-> $(SEC_CONFIG) ; 
 	/root/.gnome_private		-> $(SEC_CONFIG) ; 
 	/root/.gnome-desktop		-> $(SEC_CONFIG) ; 
 	/root/.gnome			-> $(SEC_CONFIG) ; 
 	/root/.esd_auth			-> $(SEC_CONFIG) ; 
 	/root/.elm			-> $(SEC_CONFIG) ; 
 	/root/.cshrc		        -> $(SEC_CONFIG) ; 
 	/root/.bashrc			-> $(SEC_CONFIG) ; 
 	/root/.bash_profile		-> $(SEC_CONFIG) ; 
 	/root/.bash_logout		-> $(SEC_CONFIG) ; 
 	/root/.bash_history		-> $(SEC_CONFIG) ; 
 	/root/.amandahosts		-> $(SEC_CONFIG) ; 
 	/root/.addressbook.lu		-> $(SEC_CONFIG) ; 
 	/root/.addressbook		-> $(SEC_CONFIG) ; 
 	/root/.Xresources		-> $(SEC_CONFIG) ; 
 	/root/.Xauthority		-> $(SEC_CONFIG) -i ; # Changes Inode number on login 
 	/root/.ICEauthority		    -> $(SEC_CONFIG) ; 
 } 
  
 # 
 # Critical devices 
 # 
 ( 
   rulename = "Devices & Kernel information", 
   severity = $(SIG_HI), 
 ) 
 { 
 	/dev		-> $(Device) ; 
 	/proc		-> $(Device) ; 
 } 
  
 # 
 # Other configuration files 
 # 
 ( 
   rulename = "Other configuration files", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/etc		-> $(SEC_BIN) ; 
 } 
  
 # 
 # Binaries 
 # 
 ( 
   rulename = "Other binaries", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/usr/local/sbin	-> $(SEC_BIN) ; 
 	/usr/local/bin	-> $(SEC_BIN) ; 
 	/usr/sbin	-> $(SEC_BIN) ; 
 	/usr/bin	-> $(SEC_BIN) ; 
 } 
  
 # 
 # Libraries 
 # 
 ( 
   rulename = "Other libraries", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/usr/local/lib	-> $(SEC_BIN) ; 
 	/usr/lib	-> $(SEC_BIN) ; 
 } 
  
 # 
 # Commonly accessed directories that should remain static with regards 
 # to owner and group 
 # 
 ( 
   rulename = "Invariant Directories", 
   severity = $(SIG_MED) 
 ) 
 { 
 	/		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/home		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/tmp		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/usr		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/var		-> $(SEC_INVARIANT) (recurse = 0) ; 
 	/var/tmp	-> $(SEC_INVARIANT) (recurse = 0) ; 
 }

Ovan can du se en blue print som innehåller reglerna för hur ditt Tripwire ska kolla och kontrollera dina filer på ditt system.
Nu kan du ta en titt på din "test_results" fil och kommentera bort dom med twpol.txt.
Du skriver ett # tecken framför varje fil som ska bort.

Så här ska det se ut:

Kod: Markera allt

{
    /root                -> $(SEC_CRIT) ; # Catch all additions to /root
    #/root/mail            -> $(SEC_CONFIG) ;
    #/root/Mail            -> $(SEC_CONFIG) ;
    #/root/.xsession-errors        -> $(SEC_CONFIG) ;
    #/root/.xauth            -> $(SEC_CONFIG) ;
    #/root/.tcshrc            -> $(SEC_CONFIG) ;
    #/root/.sawfish            -> $(SEC_CONFIG) ;
    #/root/.pinerc            -> $(SEC_CONFIG) ;
    #/root/.mc            -> $(SEC_CONFIG) ;
    #/root/.gnome_private        -> $(SEC_CONFIG) ;
    #/root/.gnome-desktop        -> $(SEC_CONFIG) ;
    #/root/.gnome            -> $(SEC_CONFIG) ;
    #/root/.esd_auth            -> $(SEC_CONFIG) ;
    #/root/.elm            -> $(SEC_CONFIG) ;
    #/root/.cshrc                -> $(SEC_CONFIG) ;
    /root/.bashrc            -> $(SEC_CONFIG) ;
    #/root/.bash_profile        -> $(SEC_CONFIG) ;
    #/root/.bash_logout        -> $(SEC_CONFIG) ;
    #/root/.bash_history        -> $(SEC_CONFIG) ;
    #/root/.amandahosts        -> $(SEC_CONFIG) ;
    #/root/.addressbook.lu        -> $(SEC_CONFIG) ;
    #/root/.addressbook        -> $(SEC_CONFIG) ;
    #/root/.Xresources        -> $(SEC_CONFIG) ;
    #/root/.Xauthority        -> $(SEC_CONFIG) -i ; # Changes Inode number on login
    #/root/.ICEauthority            -> $(SEC_CONFIG) ;

För att spara ändringarna skriver du "ctrl o" och Enter.

Vidare ...
Du ska även ändra följande filer:

I "Boot Scripts" ska du ta bort och kommentera bort /etc/rc.boot
Den filen existerar inte med ett Ubuntu system.

Kod: Markera allt

(
  rulename = "Boot Scripts",
  severity = $(SIG_HI)
)
{
    /etc/init.d        -> $(SEC_BIN) ;
    #/etc/rc.boot        -> $(SEC_BIN) ;
    /etc/rcS.d        -> $(SEC_BIN) ;
    /etc/rc0.d        -> $(SEC_BIN) ;
    /etc/rc1.d        -> $(SEC_BIN) ;
    /etc/rc2.d        -> $(SEC_BIN) ;
    /etc/rc3.d        -> $(SEC_BIN) ;
    /etc/rc4.d        -> $(SEC_BIN) ;
    /etc/rc5.d        -> $(SEC_BIN) ;
    /etc/rc6.d        -> $(SEC_BIN) ;
}

Vidare ...
Sedan har vi /proc filen, den lämnar massa falska fel-meddelanden hela tiden, så vi måste kommentera bort den filen med # tecken.
Men sedan finns det andra filer under /proc som vi vill kolla med vårat Tripwire.

Dom får du skriva in för hand och lägga till i din twpol.txt fil.
Detta är följande filer du kan lägga till:

Kod: Markera allt

{
        /dev                    -> $(Device) ;
        #/proc                  -> $(Device) ;
        /proc/devices           -> $(Device) ;
        /proc/net               -> $(Device) ;
        /proc/tty               -> $(Device) ;
        /proc/sys               -> $(Device) ;
        /proc/cpuinfo           -> $(Device) ;
        /proc/modules           -> $(Device) ;
        /proc/mounts            -> $(Device) ;
        /proc/dma               -> $(Device) ;
        /proc/filesystems       -> $(Device) ;
        /proc/interrupts        -> $(Device) ;
        /proc/ioports           -> $(Device) ;
        /proc/scsi              -> $(Device) ;
        /proc/kcore             -> $(Device) ;
        /proc/self              -> $(Device) ;
        /proc/kmsg              -> $(Device) ;
        /proc/stat              -> $(Device) ;
        /proc/loadavg           -> $(Device) ;
        /proc/uptime            -> $(Device) ;
        /proc/locks             -> $(Device) ;
        /proc/meminfo           -> $(Device) ;
        /proc/misc              -> $(Device) ;
}

Sedan har vi en fil som heter /dev/pts
Det är en seperat fil system som inte kollas automatiskt, därför måste vi lägga till den.
Då ser det ut så här:

Kod: Markera allt

{
    /dev        -> $(Device) ;
    /dev/pts    -> $(Device) ;
    #/proc        -> $(Device) ;
    /proc/devices    -> $(Device) ;
    /proc/net    -> $(Device) ;
    /proc/tty    -> $(Device) ;
    /proc/sys    -> $(Device) ;

Sist så ändrar vi /var så att dom inte skickar varningar om vanliga förändringar i systemet.
Det ser ut så här:

Kod: Markera allt

)
{
    #/var/lock        -> $(SEC_CONFIG) ;
    #/var/run        -> $(SEC_CONFIG) ; # daemon PIDs
    /var/log        -> $(SEC_CONFIG) ;
}

Nu ska du spara alla förändringar med Nano.
"ctrl o" och Enter.

Här kan du nu se hur den färdiga skräddarsydda filen twpol.txt ser ut.

[code]
#
# Standard Debian Tripwire configuration
#
#
# This configuration covers the contents of all 'Essential: yes'
# packages along with any packages necessary for access to an internet
# or system availability, e.g. name services, mail services, PCMCIA
# support, RAID support, and backup/restore support.
#

#
# Global Variable Definitions
#
# These definitions override those in to configuration file.  Do not         
# change them unless you understand what you're doing.
#

@@section GLOBAL
TWBIN = /usr/sbin;
TWETC = /etc/tripwire;
TWVAR = /var/lib/tripwire;

#
# File System Definitions
#
@@section FS

#
# First, some variables to make configuration easier
#
SEC_CRIT      = $(IgnoreNone)-SHa ; # Critical files that cannot change

SEC_BIN       = $(ReadOnly) ;        # Binaries that should not change

SEC_CONFIG    = $(Dynamic) ;         # Config files that are changed
                # infrequently but accessed
                # often

SEC_LOG       = $(Growing) ;         # Files that grow, but that
                         # should never change ownership

SEC_INVARIANT = +tpug ;              # Directories that should never
                # change permission or ownership

SIG_LOW       = 33 ;                 # Non-critical files that are of
                     # minimal security impact

SIG_MED       = 66 ;                 # Non-critical files that are of
                     # significant security impact

SIG_HI        = 100 ;                # Critical files that are
                     # significant points of
                     # vulnerability

#
# Tripwire Binaries
#
(
  rulename = "Tripwire Binaries",
  severity = $(SIG_HI)
)
{
    $(TWBIN)/siggen            -> $(SEC_BIN) ;
    $(TWBIN)/tripwire        -> $(SEC_BIN) ;
    $(TWBIN)/twadmin        -> $(SEC_BIN) ;
    $(TWBIN)/twprint        -> $(SEC_BIN) ;
}

#
# Tripwire Data Files - Configuration Files, Policy Files, Keys,
# Reports, Databases
#

# NOTE: We remove the inode attribute because when Tripwire creates a
# backup, it does so by renaming the old file and creating a new one
# (which will have a new inode number).  Inode is left turned on for
# keys, which shouldn't ever change.

# NOTE: The first integrity check triggers this rule and each
# integrity check afterward triggers this rule until a database update
# is run, since the database file does not exist before that point.
(
  rulename = "Tripwire Data Files",
  severity = $(SIG_HI)
)
{
    $(TWVAR)/$(HOSTNAME).twd    -> $(SEC_CONFIG) -i ;
    $(TWETC)/tw.pol            -> $(SEC_BIN) -i ;
    $(TWETC)/tw.cfg            -> $(SEC_BIN) -i ;
    $(TWETC)/$(HOSTNAME)-local.key    -> $(SEC_BIN) ;
    $(TWETC)/site.key        -> $(SEC_BIN) ;

    #don't scan the individual reports
    $(TWVAR)/report            -> $(SEC_CONFIG) (recurse=0) ;
}

#
# Critical System Boot Files
# These files are critical to a correct system boot.
#
(
  rulename = "Critical system boot files",
  severity = $(SIG_HI)
)
{
    /boot            -> $(SEC_CRIT) ;
    /lib/modules        -> $(SEC_CRIT) ;
}

(
  rulename = "Boot Scripts",
  severity = $(SIG_HI)
)
{
    /etc/init.d        -> $(SEC_BIN) ;
    #/etc/rc.boot        -> $(SEC_BIN) ;
    /etc/rcS.d        -> $(SEC_BIN) ;
    /etc/rc0.d        -> $(SEC_BIN) ;
    /etc/rc1.d        -> $(SEC_BIN) ;
    /etc/rc2.d        -> $(SEC_BIN) ;
    /etc/rc3.d        -> $(SEC_BIN) ;
    /etc/rc4.d        -> $(SEC_BIN) ;
    /etc/rc5.d        -> $(SEC_BIN) ;
    /etc/rc6.d        -> $(SEC_BIN) ;
}


#
# Critical executables
#
(
  rulename = "Root file-system executables",
  severity = $(SIG_HI)
)
{
    /bin            -> $(SEC_BIN) ;
    /sbin            -> $(SEC_BIN) ;
}

#
# Critical Libraries
#
(
  rulename = "Root file-system libraries",
  severity = $(SIG_HI)
)
{
    /lib            -> $(SEC_BIN) ;
}


#
# Login and Privilege Raising Programs
#
(
  rulename = "Security Control",
  severity = $(SIG_MED)
)
{
    /etc/passwd        -> $(SEC_CONFIG) ;
    /etc/shadow        -> $(SEC_CONFIG) ;
}




#
# These files change every time the system boots
#
(
  rulename = "System boot changes",
  severity = $(SIG_HI)
)
{
    #/var/lock        -> $(SEC_CONFIG) ;
    #/var/run        -> $(SEC_CONFIG) ; # daemon PIDs
    /var/log        -> $(SEC_CONFIG) ;
}

# These files change the behavior of the root account
(
  rulename = "Root config files",
  severity = 100
)
{
    /root                -> $(SEC_CRIT) ; # Catch all additions to /root
    #/root/mail            -> $(SEC_CONFIG) ;
    #/root/Mail            -> $(SEC_CONFIG) ;
    #/root/.xsession-errors        -> $(SEC_CONFIG) ;
    #/root/.xauth            -> $(SEC_CONFIG) ;
    #/root/.tcshrc            -> $(SEC_CONFIG) ;
    #/root/.sawfish            -> $(SEC_CONFIG) ;
    #/root/.pinerc            -> $(SEC_CONFIG) ;
    #/root/.mc            -> $(SEC_CONFIG) ;
    #/root/.gnome_private        -> $(SEC_CONFIG) ;
    #/root/.gnome-desktop        -> $(SEC_CONFIG) ;
    #/root/.gnome            -> $(SEC_CONFIG) ;
    #/root/.esd_auth            -> $(SEC_CONFIG) ;
    #/root/.elm            -> $(SEC_CONFIG) ;
    #/root/.cshrc                -> $(SEC_CONFIG) ;
    /root/.bashrc            -> $(SEC_CONFIG) ;
    #/root/.bash_profile        -> $(SEC_CONFIG) ;
    #/root/.bash_logout        -> $(SEC_CONFIG) ;
    #/root/.bash_history        -> $(SEC_CONFIG) ;
    #/root/.amandahosts        -> $(SEC_CONFIG) ;
    #/root/.addressbook.lu        -> $(SEC_CONFIG) ;
    #/root/.addressbook        -> $(SEC_CONFIG) ;
    #/root/.Xresources        -> $(SEC_CONFIG) ;
    #/root/.Xauthority        -> $(SEC_CONFIG) -i ; # Changes Inode number on login
    #/root/.ICEauthority            -> $(SEC_CONFIG) ;
}

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
    /dev        -> $(Device) ;
    /dev/pts    -> $(Device) ;
    #/proc        -> $(Device) ;
    /proc/devices    -> $(Device) ;
    /proc/net    -> $(Device) ;
    /proc/tty    -> $(Device) ;
    /proc/sys    -> $(Device) ;
    /proc/cpuinfo    -> $(Device) ;
    /proc/modules    -> $(Device) ;
    /proc/mounts    -> $(Device) ;
    /proc/dma    -> $(Device) ;
    /proc/filesystems -> $(Device) ;
    /proc/interrupts -> $(Device) ;
    /proc/ioports    -> $(Device) ;
    /proc/scsi    -> $(Device) ;
    /proc/kcore    -> $(Device) ;
    /proc/self    -> $(Device) ;
    /proc/kmsg    -> $(Device) ;
    /proc/stat    -> $(Device) ;
    /proc/loadavg    -> $(Device) ;
    /proc/uptime    -> $(Device) ;
    /proc/locks    -> $(Device) ;
    /proc/meminfo    -> $(Device) ;
    /proc/misc    -> $(Device) ;
}

#
# Other configuration files
#
(
  rulename = "Other configuration files",
  severity = $(SIG_MED)
)
{
    /etc        -> $(SEC_BIN) ;
}

#
# Binaries
#
(
  rulename = "Other binaries",
  severity = $(SIG_MED)
)
{
    /usr/local/sbin    -> $(SEC_BIN) ;
    /usr/local/bin    -> $(SEC_BIN) ;
    /usr/sbin    -> $(SEC_BIN) ;
    /usr/bin    -> $(SEC_BIN) ;
}

#
# Libraries
#
(
  rulename = "Other libraries",
  severity = $(SIG_MED)
)
{
    /usr/local/lib    -> $(SEC_BIN) ;
    /usr/lib    -> $(SEC_BIN) ;
}

#
# Commonly accessed directories that should remain static with regards
# to owner and group
#
(
  rulename = "Invariant Directories",
  severity = $(SIG_MED)
)
{
    /        -> $(SEC_INVARIANT) (recurse = 0) ;
    /home        -> $(SEC_INVARIANT) (recurse = 0) ;
    /tmp        -> $(SEC_INVARIANT) (recurse = 0) ;
    /usr        -> $(SEC_INVARIANT) (recurse = 0) ;
    /var        -> $(SEC_INVARIANT) (recurse = 0) ;
    /var/tmp    -> $(SEC_INVARIANT) (recurse = 0) ;
}

Nu måste vi uppdatera twpol.txt med vårt nya skräddarsydda system, så Tripwire noterar detta.

Kod: Markera allt

sudo twadmin -m P /etc/tripwire/twpol.txt

Nu måste vi installera om databasen, så den kan uppdatera våra förändringar.

Kod: Markera allt

sudo tripwire --init

Nu ska alla fel-meddelanden vara borta.
Men om du skulle mot förmodan få ett fel-meddelande, så är det bara öppna twpol.txt och modifiera/skräddarsy och sedan installera om databasen igen.

[pompado]

TREDJE DELEN AV INSTALLATIONEN

Nu kan du kolla ditt system genom att skriva:

Kod: Markera allt

sudo tripwire --check

Då ska du få en report som ser ut så här:

Kod: Markera allt

patrik@patrik-ubuntu:~$ sudo tripwire --check
[sudo] password for patrik: 
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check...
Wrote report file: /var/lib/tripwire/report/patrik-ubuntu-20140713-202129.twr


Open Source Tripwire(R) 2.4.2.2 Integrity Check Report

Report generated by:          root
Report created on:            Sun Jul 13 20:21:29 2014
Database last updated on:     Never

===============================================================================
Report Summary:
===============================================================================

Host name:                    patrik-ubuntu
Host IP address:              127.0.1.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/patrik-ubuntu.twd
Command line used:            tripwire --check 

===============================================================================
Rule Summary: 
===============================================================================

-------------------------------------------------------------------------------
  Section: Unix File System
-------------------------------------------------------------------------------

  Rule Name                       Severity Level    Added    Removed  Modified 
  ---------                       --------------    -----    -------  -------- 
  Other binaries                  66                0        0        0        
  Tripwire Binaries               100               0        0        0        
  Other libraries                 66                0        0        0        
  Root file-system executables    100               0        0        0        
  Tripwire Data Files             100               0        0        0        
  System boot changes             100               0        0        0        
  (/var/log)
  Root file-system libraries      100               0        0        0        
  (/lib)
  Critical system boot files      100               0        0        0        
* Other configuration files       66                0        0        3        
  (/etc)
  Boot Scripts                    100               0        0        0        
  Security Control                66                0        0        0        
  Root config files               100               0        0        0        
  Devices & Kernel information    100               0        0        0        
  Invariant Directories           66                0        0        0        

Total objects scanned:  27259
Total violations found:  3

===============================================================================
Object Summary: 
===============================================================================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Rule Name: Other configuration files (/etc)
Severity Level: 66
-------------------------------------------------------------------------------

Modified:
"/etc/cups"
"/etc/cups/subscriptions.conf"
"/etc/cups/subscriptions.conf.O"

===============================================================================
Error Report: 
===============================================================================

No Errors

-------------------------------------------------------------------------------
*** End of report ***

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.
Integrity check complete.
patrik@patrik-ubuntu:~$

Efter att du kollat ditt system efter förändringar och du inte finner något suspekt.
Så kan du köra följande kod som dels ger än mer detaljerad report och uppdaterar din report - nollställer din report.

Kod: Markera allt

sudo tripwire --check --interactive

Du kommer även kunna se visa filer ha ett x framför dom.
Ifall du låter x vara kvar så godkänner du förändringen och filen uppdateras.
Men tar du bort x så kommer Tripwire notera den filens förändring igen.
Det kan vara att du vill undersöka den filen och förändringen lite närmare.

[pompado]

SISTA DELEN AV INSTALLATIONEN

Om du skulle få ett intrång, då skulle den personen kunna ändra och förstöra ditt Tripwire.
Men vi kan förhindra det, genom att installera databasen på en USB sticka.
Då är databasen bort tagen från systemet och ingen kan ändra eller förstöra databasen, eftersom den inte finns tillgänglig i Ubuntu systemet.

Detta höjer säkerheten enormt mycket.

Databasen ger även reports.
Du kan hitta dessa filer i /var/lib/tripwire
Där ligger både databasen och reports.

Reports innehåller filer som visar hur, när, var intrång skett om det sker.
Eller endast vanliga förändringar du orsakat.

Så vi bör lägga både databasen och reports på en USB sticka.
Separat från systemet.

Du gör detta på följande sätt:

1. Först sätter du in en USB sticka i datorn och skapar en folder med namnet tripwire
Sedan öppnar du mappen tripwire och skapar en till folder med namnet "report"

2. Nu flyttar du databasen från /var/lib/tripwire (den slutar med .twd) till foldern tripwire på USB stickan.
Min database fil har samma namn som min dator "patrik-ubuntu.twd"

3. Nu så monterar Ubuntu 12.04 LTS USB stickan automatiskt, så du behöver inte skriva /mnt
I mitt fall så ligger USB stickan i foldern "media" och namnet på min USB sticka är "887D-1ED9"

Så hela adressen blev till USB stickan:

Kod: Markera allt

/media/887D-1ED9/tripwire

4. Nu öppnar vi twcfg.txt filen för att ändra och lägga till dom nya sökvägarna.
Vi måste tala om för Tripwire att databasen och report ligger på USB stickan.

Öppna twcfg.txt filen med följande code:

Kod: Markera allt

sudo nano /etc/tripwire/twcfg.txt

5. Ändra sökvägen för databasen och report.
Du ska ändra DBFILE och REPORTFILE

Så här ser mina sökvägar ut:

Databasen/DBFILE

Kod: Markera allt

/media/887D-1ED9/tripwire/$(HOSTNAME).twd

report/REPORTFILE

Kod: Markera allt

/media/887D-1ED9/tripwire/report//$(HOSTNAME) - $(DATE).twr

Lite förenklat så lägger du till din sökväg med följande ändelser:

Databasen

Kod: Markera allt

/din sökväg till usb stickan/$(HOSTNAME).twd

Reportfilen

Kod: Markera allt

/din sökväg till usb stickan/report/$(HOSTNAME) - $(DATE).twr 

[pompado]

UPPDATERA ALLA ÄNDRINGAR

Nu måste vi konfa om Tripwire, så den känner till alla nya sökvägar.

1. Först uppdaterar vi "site.key" och "twcfg.txt"

Skriv och kör följande kod:

Kod: Markera allt

sudo twadmin -m F -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt 

2. Sedan uppdaterar vi "twpol.txt" och kör följande kod:

Kod: Markera allt

sudo twadmin -m P /etc/tripwire/twpol.txt

3. Sedan skapar du om databasen med följande kod:

Kod: Markera allt

sudo tripwire -m i

4. Till sist kan du köra om följande kod:

Kod: Markera allt

sudo twadmin -m F -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt 

5. NU KAN DU TESTA TRIPWIRE MED DEN NY KONFIGURATIONEN

Med följande kod:

Kod: Markera allt

sudo tripwire --check

Så här ser filen ut.
Där kan du se att tripwire skrev report filen till usb stickan och att läsa att tripwire läste databasen från usb stickan.

Kod: Markera allt

patrik@patrik-ubuntu:~$ sudo tripwire --check
[sudo] password for patrik: 
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check...
### Warning: File system error.
### Filename: /var/lib/tripwire/patrik-ubuntu.twd
### No such file or directory
### Continuing...
Wrote report file: /media/887D-1ED9/tripwire/report/patrik-ubuntu-20140719-212845.twr


Open Source Tripwire(R) 2.4.2.2 Integrity Check Report

Report generated by:          root
Report created on:            Sat Jul 19 21:28:45 2014
Database last updated on:     Never

===============================================================================
Report Summary:
===============================================================================

Host name:                    patrik-ubuntu
Host IP address:              127.0.1.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /media/887D-1ED9/tripwire/patrik-ubuntu.twd
Command line used:            tripwire --check 

===============================================================================
Rule Summary: 
===============================================================================

-------------------------------------------------------------------------------
  Section: Unix File System
-------------------------------------------------------------------------------

  Rule Name                       Severity Level    Added    Removed  Modified 
  ---------                       --------------    -----    -------  -------- 
  Other binaries                  66                0        0        0        
  Tripwire Binaries               100               0        0        0        
  Other libraries                 66                0        0        0        
  Root file-system executables    100               0        0        0        
  Tripwire Data Files             100               0        0        0        
* System boot changes             100               1        0        5        
  (/var/log)
  Root file-system libraries      100               0        0        0        
  (/lib)
* Critical system boot files      100               0        0        1        
* Other configuration files       66                0        0        6        
  (/etc)
  Boot Scripts                    100               0        0        0        
  Security Control                66                0        0        0        
* Root config files               100               0        0        2        
* Devices & Kernel information    100               1        1        0        
  Invariant Directories           66                0        0        0        

Total objects scanned:  32705
Total violations found:  17

===============================================================================
Object Summary: 
===============================================================================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------

Added:
"/var/log/dmesg.4.gz"

Modified:
"/var/log/Xorg.0.log"
"/var/log/dmesg"
"/var/log/dmesg.1.gz"
"/var/log/dmesg.2.gz"
"/var/log/dmesg.3.gz"

-------------------------------------------------------------------------------
Rule Name: Other configuration files (/etc)
Severity Level: 66
-------------------------------------------------------------------------------

Modified:
"/etc"
"/etc/cups"
"/etc/cups/subscriptions.conf"
"/etc/cups/subscriptions.conf.O"
"/etc/mtab"
"/etc/tripwire/twpol.txt"

-------------------------------------------------------------------------------
Rule Name: Critical system boot files (/boot)
Severity Level: 100
-------------------------------------------------------------------------------

Modified:
"/boot/grub/grubenv"

-------------------------------------------------------------------------------
Rule Name: Root config files (/root)
Severity Level: 100
-------------------------------------------------------------------------------

Modified:
"/root/.pulse"
"/root/.pulse/9fc69314a76666ab4b21a64100000008-runtime"

-------------------------------------------------------------------------------
Rule Name: Devices & Kernel information (/dev/pts)
Severity Level: 100
-------------------------------------------------------------------------------

Added:
"/dev/pts/2"

Removed:
"/dev/pts/4"

===============================================================================
Error Report: 
===============================================================================

-------------------------------------------------------------------------------
  Section: Unix File System
-------------------------------------------------------------------------------

1.   File system error.
     Filename: /var/lib/tripwire/patrik-ubuntu.twd
     No such file or directory

-------------------------------------------------------------------------------
*** End of report ***

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.
Integrity check complete.

OBS

Du får ett fel-meddelande om /var/lib/tripwire och att den katalogen inte finns, men det spelar ingen roll, eftersom du ser att tripwire fungerar som det ska med våra insällningar.
Tripwire säger ifrån för att vi har flyttat på databasen och jag vet tyvärr inte hur man tar bort detta fel-meddelande.

[pompado]

Ytterligare säkerhet:

Kan vara att använda gnupg och cryptera

twcfg.txt
twpol.txt

Då måste du öppna dom varje gång du använder USB stickan och kör sudo tripwire --check för att kolla ditt system.
För att köra och kolla systemet och samtidigt uppdatera databasen kan du köra sudo tripwire --check --interactive
Då öppnas nano som default och du stänger med ctrl x och får verifiera med en säkerhetsnyckel

Om du tar en närmare titt på twcfg.txt filen så ser du att du kan även spara twpol.txt site.key local.key på USB stickan.

[pompado]

Testa på skoj och skicka epost med Tripwire.
Upptäckte att hotmail.com inte fungera, men det gör gmail.com med mitt test.
Meddelandet hamna i foldern för skräppost.

Kod: Markera allt

sudo tripwire --test -e youremail@yourdomain.com