Programmazione.it v6.4
Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Info Pubblicità Collabora Autori Sottoscrizioni Preferiti Bozze Scheda personale Privacy Archivio Libri Corsi per principianti Forum
Greenpeace
Rilevamento delle intrusioni con Tripwire (5/6)
Scritto da Francesca Beatrice Cice il 26-02-2007 ore 08:54
Quando viene modificato un file che Tripwire controlla, si deve aggiornare il database di questo software, così che rifletta le nuove informazioni per il file. Questo può essere fatto come parte del processo di controllo di integrità, usando l'opzione interattiva ('-I') o usando il modo per l'aggiornamento del database del comando tripwire:
  1. <span style="font-size:1.0em">[root@home | etc| tripwire]# tripwire --update --twrfile 
  2. | var | lib | tripwire | report | $HOSTNAME-20040823-210750.twr
  3.     < A questo punto si chiede di scegliere quale file da aggiornare >    
  4.     < nel database attraverso il meccanismo 'crocetta'. A meno che non si >
  5.     < specifica diversamente. Se non si è usato <i>vi</i> prima di questo >
  6.     < si potrebbe usare <i>pico, nedit</i> >
  7.     < aggiungere | rimuovere x dal modulo, salvare ed uscire  >                                                       
  8. Please enter your local passphrase: XXXXXXXXXXXXXXX
  9. Wrote database file: | var | lib | tripwire | home.beatrix.com.twd
  10. [root@home  | etc | tripwire]</span>

Come si può vedere dalla linea di comando descritta, si deve specificare un file di rapporto da usare quando si aggiorna un database. Si scelga il file di rapporto generato più recentemente; se si devono aggiornare costantemente gli stessi file e questi non sono di importanza critica, si aggiornino le regole in maniera da escludere questi file. Se viene rilevata una modifica sarà presentato un modulo a crocetta, che deve essere appunto compilato mettendo una x affianco alle violazioni che possono essere tranquillamente aggiornate nel database, come nel caso in cui sia stato aggiornato il Web server Apache il giorno precedente e Tripwire riporta un cambiamento nel file binario | usr | sbin | httpd come ci si attende. Se è cambiato qualcosa che non dipende direttamente dall'attività dell'amministratore allora si dovrebbe controllare approfonditamente, perché potrebbe indicare che qualcuno si è intromesso all'interno del sistema.

Il comando tripwire ha una modalità per l'aggiornamento delle regole che fa in modo che una modifica nelle regole non richieda la reinizializzazione del database. La modalità di aggiornamento delle regole semplicemente sincronizza il database esistente con il nuovo file delle regole, che deve essere in formato testuale in chiaro - Tripwire chiederà poi le passphrase sia locali che del sito, sincronizzerà il database e firmerà entrambi i nuovi file:

  1. tripwire --update-policy --cfgfile . | tw.cfg --polfile ./tw.pol --site-keyfile .
  2.  |site.key 
  3.     --local-keyfile . | $HOSTNAME-local.key new_policy_file.txt

Si ricordi infine che non è importante non lasciare nel sistema la versione testuale in chiaro del file delle regole.
Manda ad un amico Aggiungi ai preferiti Sottoscrivi la discussione Stampa
Commenta
Precedente: Un toolkit AJAX open source, ASP.NET 2.0, un application server Java EE, mescolare il tutto...
Successiva: Don’t make me think
Copyright Programmazione.it™ 1999-2013. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002. Pagina generata in 0.283 secondi.