Sicherheitstipps

Idealerweise richten Sie Tripwire auf einem frisch aufgesetzten System ein: Nur dann können Sie wirklich sicher sein, dass alle Dateien noch im Originalzustand vorliegen. Schlüssel, Policy-File und Konfigurationsdatei darf ausschließlich root lesen und schreiben, was folgendes Kommando sicherstellt:

# chmod 600 site.key ${HOSTNAME}-local.key tw.*

Auch auf die Verzeichnisse /etc/tripwire und /var/lib/tripwire/ darf nur root Zugriff erhalten (chmod 700 ...).

Wenn möglich, sollten Sie außerdem die Tripwire-Datenbank besonders schützen, sodass ein Angreifer keine Chance hat, sie zu ändern. Bei einem Desktop-Rechner bietet sich dazu ein externes Speichermedium an. Ein Server kann die Datenbank vor jedem Test via SSH und Public-Key-Verfahren von einem anderen Rechner herunterladen oder von einem nur lesbaren Medium beziehen.

Fazit

Tripwire macht seinem Namen alle Ehre. Das einfache, aber wirkungsvolle HIDS lässt sich schnell einrichten und versieht seinen Dienst still und diskret. Es wehrt zwar keine Angriffe ab, hilft aber dabei, Unstimmigkeiten zeitnah zu erkennen. Während Admins sonst nur eine geringe Chance haben, von Angreifern hinterlassene oder veränderte Dateien aufzuspüren, bekommen sie dies von Tripwire per E-Mail serviert, was den Aufwand für Suche und Entfernung spürbar verringert.

Die Regeln lassen sich auch nachträglich gut anpassen, etwa wenn sich Inodes und Dateigrößen als schlechte Properties für Logdateien erweisen, die ja von Zeit zu Zeit von Logrotate durchgedreht werden. Die Berichtsdateien fallen meist angenehm klein aus, sodass die Gefahr einer unbemerkt zulaufenden Festplatte kaum existiert. Nach gewollten Änderungen etwa durch ein Update oder geänderte Konfigurationsdateien können Sie die Datenbank unaufwändig aktualisieren. 

Glossar

Atime

Access Time. Gibt an, wann eine Datei das letzte Mal zum Lesen geöffnet wurde.

Mtime

Modification Time. Gibt an, wann der Inhalt einer Datei zuletzt verändert wurde.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 2 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 4 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...
Treiber für Canon Laserbase MF5650
Sven Bremer, 10.02.2015 09:46, 1 Antworten
Hallo ich weiß mittlerweile das Canon nicht der beste Drucker für ein Linux System ist. Trotzd...
Linux und W7 im Netz finden sich nicht
Oliver Zoffi, 06.02.2015 11:47, 3 Antworten
Hallo! Ich verwende 2 PCs, 1x mit W7prof 64 Bit und einmal mit Linux Mint 17 64 Bit, welches ich...
Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...