Hallo allerseits, ich möchte tripwire bei mir einsetzten. Daher suche ich eine einfache tripwire policy datei. "Einfach" deshalb, da ich hier kein Rechenzentrum schützen muß, sonderen nur beine Heim-Installation (es ist also keine "teure, ultra-paranoide Integritätsprüfung" notig, wie es im "Linux Sicherheitskochbuch" heisst :-) Schon mal Dank im Voraaus. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@[informatik-vollmer.de|alumni.uni-karlsruhe.de|acm.org] www.informatik-vollmer.de
Hallo Jürgen, hi all, Am Freitag 25 Juni 2004 16:06 schrieb Dr. Jürgen Vollmer:
ich möchte tripwire bei mir einsetzten. Daher suche ich eine einfache tripwire policy datei. "Einfach" deshalb, da ich hier kein Rechenzentrum schützen muß, sonderen nur beine Heim-Installation (es ist also keine "teure, ultra-paranoide Integritätsprüfung" notig, wie es im "Linux Sicherheitskochbuch" heisst :-)
Hier meine Faulenzer-Ich-bin-Bequem-Lösung des Problems: #1 helga@Fermat:~> locate tripwire /etc/tripwire /etc/tripwire/twcfg.txt /usr/lib/nessus/plugins/tripwire_webpage.nasl /usr/sbin/tripwire /usr/share/doc/packages/tripwire /usr/share/doc/packages/tripwire/ChangeLog /usr/share/doc/packages/tripwire/COPYING /usr/share/doc/packages/tripwire/policyguide.txt /usr/share/doc/packages/tripwire/README /usr/share/doc/packages/tripwire/README.SuSE /usr/share/doc/packages/tripwire/Release_Notes /usr/share/doc/packages/tripwire/TRADEMARK /usr/share/doc/packages/tripwire/twpol.txt /usr/share/doc/packages/tripwire/WISHLIST /usr/share/man/man8/tripwire.8.gz /var/lib/tripwire /var/lib/tripwire/report helga@Fermat:~> Wußte ich's doch, tripwire habe ich irgendwann mal installiert und nie benutzt. (Zu irgendwas muß ja cron mitten in der Nacht die Platte durchnudeln lassen). #2 /etc/tripwire/twcfg.txt markiert und in die URL-Leiste von Konqui kopiert. #3 Hmmm.... da steht was von: POLFILE = /etc/tripwire/tw.pol #4 Zweiten Reiter im Konqui aufgemacht, Google-Knöpchen angeklickt, tw.pol tripwire ins Suchenfeld getippt und - aus Versehen - auf den 'Auf gut Glück!' geklickt. Ergebnis: http://www.different-thinking.de/tripwire_howto.php Sieht brauchbar aus, wie man eine Policy schreibt, wird aus dem Artikel auch schnell klar. Vermutlich gibt's noch mehr, das man finden kann. #5 Heißer Tipp: file:/usr/share/doc/packages/tripwire/policyguide.txt (OK, nicht ganz so hybsch übersichtlich, aber schon noch verdaubar). Helga, die hier nicht widerstehen konnte -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Helga Fischer, Samstag, 26. Juni 2004 11:34:
[...] Hier meine Faulenzer-Ich-bin-Bequem-Lösung des Problems:
#1
helga@Fermat:~> locate tripwire /etc/tripwire /etc/tripwire/twcfg.txt /usr/lib/nessus/plugins/tripwire_webpage.nasl /usr/ [...]
Wußte ich's doch, tripwire habe ich irgendwann mal installiert und nie benutzt. (Zu irgendwas muß ja cron mitten in der Nacht die Platte durchnudeln lassen).
#2
/etc/tripwire/twcfg.txt markiert und in die URL-Leiste von Konqui kopiert.
#3
Hmmm.... da steht was von: POLFILE = /etc/tripwire/tw.pol
#4
Zweiten Reiter im Konqui aufgemacht, Google-Knöpchen angeklickt, tw.pol tripwire ins Suchenfeld getippt und - aus Versehen - auf den 'Auf gut Glück!' geklickt.
Ergebnis: http://www.different-thinking.de/tripwire_howto.php
Sieht brauchbar aus, wie man eine Policy schreibt, wird aus dem Artikel auch schnell klar.
Vermutlich gibt's noch mehr, das man finden kann.
#5
Heißer Tipp:
file:/usr/share/doc/packages/tripwire/policyguide.txt [Anmerkung v. MaxX: Steht auch oben in der Auflistung]
(OK, nicht ganz so hybsch übersichtlich, aber schon noch verdaubar).
Helga, die hier nicht widerstehen konnte
Fein ;-) Kann man sowas nicht als "Strickmuster" in die FAQ mit einbinden? Es gibt bestimmt einige (nein, Jürgen meine ich jetzt bestimmt nicht), denen einfach der Anstoß zu solchen Arbeitsweisen fehlt. Vielleicht kennen sie nicht einmal solche Konsolenbefehle wie whereis, locate usw. - wie soll man sie dann nutzen? -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Samstag 26 Juni 2004 13:01 schrieb Matthias Houdek:
Helga Fischer, Samstag, 26. Juni 2004 11:34:
[...] Hier meine Faulenzer-Ich-bin-Bequem-Lösung des Problems:
file:/usr/share/doc/packages/tripwire/policyguide.txt [Anmerkung v. MaxX: Steht auch oben in der Auflistung]
Hast Recht.
Fein ;-)
Kann man sowas nicht als "Strickmuster" in die FAQ mit einbinden?
Stümpt. Da hätte ich noch ein paar andere Kandidaten für die FAQ, mal gucken, ob ich auch dazu komme, sie auszuarbeiten.
Es gibt bestimmt einige (nein, Jürgen meine ich jetzt bestimmt nicht), denen einfach der Anstoß zu solchen Arbeitsweisen fehlt.
Richtig, daher auch diese Mail von mir - Jürgen war nicht unbedingt gemeint, aber die Frage war einfach zu 'schön'.
Vielleicht kennen sie nicht einmal solche Konsolenbefehle wie whereis, locate usw. - wie soll man sie dann nutzen?
So manches kriege ich auch nur mit, weil ich hier oder anderweitig von lese. Wenn ich gescheit bin, schreibe ich das auch in eine Kladde rein und kopiere die Mail in einen Ordner, in dem so Zeuchs aufbewahrt wird. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Helga Fischer, Samstag, 26. Juni 2004 17:14:
Am Samstag 26 Juni 2004 13:01 schrieb Matthias Houdek:
Helga Fischer, Samstag, 26. Juni 2004 11:34:
[...] Hier meine Faulenzer-Ich-bin-Bequem-Lösung des Problems:
file:/usr/share/doc/packages/tripwire/policyguide.txt [Anmerkung v. MaxX: Steht auch oben in der Auflistung]
Hast Recht.
Fein ;-)
Kann man sowas nicht als "Strickmuster" in die FAQ mit einbinden?
Stümpt. Da hätte ich noch ein paar andere Kandidaten für die FAQ, mal gucken, ob ich auch dazu komme, sie auszuarbeiten.
Es gibt bestimmt einige (nein, Jürgen meine ich jetzt bestimmt nicht), denen einfach der Anstoß zu solchen Arbeitsweisen fehlt.
Richtig, daher auch diese Mail von mir - Jürgen war nicht unbedingt gemeint, aber die Frage war einfach zu 'schön'.
Vielleicht kennen sie nicht einmal solche Konsolenbefehle wie whereis, locate usw. - wie soll man sie dann nutzen?
So manches kriege ich auch nur mit, weil ich hier oder anderweitig von lese. Wenn ich gescheit bin, schreibe ich das auch in eine Kladde rein und kopiere die Mail in einen Ordner, in dem so Zeuchs aufbewahrt wird.
Ich glaub, da bist du nicht die Einzige. Und manch Einer könnte auch davon lernen. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo Helga, ich:
ich möchte tripwire bei mir einsetzten. Daher suche ich eine einfache tripwire policy datei. "Einfach" deshalb, da ich hier kein Rechenzentrum schützen muß, sonderen nur beine Heim-Installation (es ist also keine "teure, ultra-paranoide Integritätsprüfung" notig, wie es im "Linux Sicherheitskochbuch" heisst :-)
Helga Fischer <Azula@gmx.de>
Hier meine Faulenzer-Ich-bin-Bequem-Lösung des Problems:
danke für den Hinweis, wie man mit locate, der Maus und google was finden kann :-) Nur, mein Problem ist nicht, daß ich nicht weiss, wo und wie man tripwire konfiguriert, sondern eine sinnvolle und einfache Config zu erstellen. Helga:
file:/usr/share/doc/packages/tripwire/policyguide.txt (OK, nicht ganz so hybsch übersichtlich, aber schon noch verdaubar).
auch verdaubar, und /usr/share/doc/packages/tripwire/twpol.txt enthält auch eine Konfig für RedHat 7.0, sie funktioniert aber leider nicht ad-hoc, man muß da noch einige Variablen setzen). Diese twpol.txt ist allerdings "overkill" (für mich) da hier jedes Programm einzel aufgezählt ist. Helga Fischer <Azula@gmx.de>
http://www.different-thinking.de/tripwire_howto.php ist nett zu lesen, aber die Konfig dort finde ich wiederum etwas zu "kurz", denn /dev wird überhaupt nicht geprüft, aber das sollte als für das Betriebsystem wichtiger Bestandteil schon getestet werden. Nur wie? /boot wird nicht geprüft: geradzu fahrlässig.
So long und Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@[informatik-vollmer.de|alumni.uni-karlsruhe.de|acm.org] www.informatik-vollmer.de
participants (3)
-
Dr. Jürgen Vollmer -
Helga Fischer -
Matthias Houdek