Tripwire utile tool per monitorare qualsiasi cambiamento nel nostro sistema
Tripwire è un’ottimo tool dedicato al monitoraggio di un insieme specifico di file notificandoci qualsiasi cambiamento.
Ottimo sia per pc desktop che server, Tripwire ci permette di monitorare i file del nostro sistema segnalandoci anomalie o altre informazioni in un report.
Grazie alle varie segnalazioni possiamo operare in maniera tempestiva sul nostro sistema evitando danni che possono rendere instabile e insicuro il nostro sistema operativo.
In questa guida vedremo come installare Tripwire e configurarlo in maniera corretta.
Tripwire è un’applicazione presente nei repository delle principali distribuzioni Linux per installarlo su Ubuntu, Debian o derivate basta digitare:
sudo apt-get install tripwire
Per installarlo su Arch Linux basta digitare:
yaourt -S tripwire
una volta installato Tripwire verrà avviato il wizard di configurazione che tra le varie informazioni ci chiederà di inserire il site key e local key attraverso le quali Tripwire andrà a creare un file di configurazione nella cartella /etc/tripwire (twpol.txt, tw.cfg e tw.pol).
Per una maggiore sicurezza è consigliabile rendere questi file leggibili solo dall’utente di root per far tutto questo basta digitare:
sudo chmod 0600 /etc/tripwire/tw.cfg /etc/tripwire/tw.pol
se vogliamo che Tripwire ci invii un report del nostro sistema per email basta digitare da terminale:
sudo nano /etc/tripwire/twcfg.txt
e aggiungiamo in fondo
GLOBALEMAIL = nostra_email
ad esempio
GLOBALEMAIL = ferramroberto@lffl.org
salviamo e ricreiamo il corretto file di configurazione digitando:
sudo twadmin –create-cfgfile -S site.key /etc/tripwire/twcfg.txt
fatto questo creiamo un file dove verranno salvati i dati del nostro sistema attuale in modo tale da confrontarli in futuro con i vari cambiamenti per far tutto questo dovremo digitare:
sudo tripwire –init
al termine verrà creare un file in /var/lib/tripwire/
se vogliamo testare Tripwire basta effettuare l’aggiornamento della nostra distribuzione e al termine digitare:
tripwire –check –email-report
avviamo il nostro client email e noteremo un’email con il report con i file modificati.