Tripwire, verificación de cambios en archivos

(Edit)

Información

https://www.linuxjournal.com/article/8758
http://www.faqs.org/docs/securing/chap17sec139.html
https://www-uxsup.csx.cam.ac.uk/pub/doc/redhat/redhat8/rhl-rg-en-8.0/ch-tripwire.html

Aquí muestran una política interesante de ejecución de tripwire:
http://www.alwanza.com/howTo/linux/tripwire.html

(Edit)

Configuración

http://www.techrepublic.com/article/example-2-a-sample-tripwire-policy-file/

Las claves local y de site están en el archivo de claves.
TODO: Que la base de datos de hashes esté en un lugar protegido contra escritura

(Edit)

Configuración global

Editar el fichero:
vim /etc/tripwire/twcfg.txt

Luego actualizar el fichero compilado de configuración:
/usr/sbin/twadmin --create-cfgfile -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

(Edit)

Edición de las políticas

Editar el fichero:
vim /etc/tripwire/twpol.txt

Actualizar el fichero encriptado de configuración (después hay que hacer un --init!!)
/usr/sbin/twadmin --create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

(Edit)

Inicialización y chequeo manual

Para inicializar la base de datos
tripwire --init

Para hacer un chequeo manual
tripwire --check --interactive

Para ver el último reporte
twprint -m r --twrfile /var/lib/tripwire/report/<name>.twr

(Edit)

Mantenimiento

A medida que se van actualizando componentes, hay que ir actualizando la base de datos de tripwire.

Para actualizar según el último reporte, lanzar el comando:
sudo /usr/bin/env LANG=C /usr/sbin/tripwire --update -r /var/lib/tripwire/report/`ls -t /var/lib/tripwire/report | head -n 1`