Konfiguration von Tripwire

• Öffnen Sie die Konfigurationsdatei /etc/tripwire/twcfg.txt und bearbeiten Sie die folgenden Zeilen

sudo vim /etc/tripwire/twcfg.txt

Konfigurationsdatei Signieren

• Verwenden Sie twadmin, um die bearbeitete Konfigurationsdatei zu signieren

sudo twadmin --create-cfgfile -S /etc/tripwire/tripwire-site.key /etc/tripwire/twcfg.txt 

• Tripwire fordert Sie auf, die Passphrase des Site-Schlüssels einzugeben.
• Anschließend speichert es die signierte Konfigurationsdatei in /etc/tripwire/tw.cfg

Erstellen einer Policy Datei

• Die Policy Datei gibt an, welche Verzeichnisse und Dateien auf Änderungen überwacht werden
• Mit Tripwire wird eine Standardrichtlinie bereitgestellt, die jedoch komplex ist

Standardrichtlinie erstellen

• Wir erstellen eine grundlegende Richtlinie, die nur das Verzeichnis /etc überwacht
• Verschieben der automatisch generierte Policy Datei

sudo mv /etc/tripwire/twpol.txt /etc/tripwire/twpol.old.txt

• Wir erstellen eine neue Policy Datei mit dem Namen /etc/tripwire/twpol.txt
• Und fügen die folgende Regel hinzu

/etc -> $(ReadOnly);
!/etc/tripwire;

• Diese Regel weist Tripwire an, das gesamte /etc-Verzeichnis zu scannen und die darin enthaltenen Dateien als schreibgeschützt zu behandeln

Signieren der Policy Datei mit dem Standortschlüssel

sudo twadmin --create-polfile -S /etc/tripwire/tripwire-site.key /etc/tripwire/twpol.txt

• Anschließend speichert es die signierte Richtliniendatei unter /etc/tripwire/tw.pol