Hi Leute !!!

Ich wollte mir gerade Tripwire installieren.... jetzt habe ich allerdings probleme bei der DB erstellung... (ich habe das mini-how-to hier aus dem forum benutzt)
ich führe den befehl:

tripwire -m i -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key -p /etc/tripwire/tw.pol -L /etc/tripwire/linuxserver-local.key

aus und dann beginnt er die Informationen zu sammeln ... nur irgendwann bricht er mit einem Segmentation Fault ab:


--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nv-misc.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nv.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nv.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nvtypes.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-agp.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-agp.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-interface.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-interface.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-registry.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/rmretval.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499.tar.gz
--- Generating information for: /root/bin
--- Generating information for: /root/bin/.chktwdb.sh.swp
Processing: /root/mail
### Warning: File system error.
### Filename: /root/mail
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/Mail
### Warning: File system error.
### Filename: /root/Mail
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.xsession-errors
--- Generating information for: /root/.xsession-errors
Processing: /root/.xauth
### Warning: File system error.
### Filename: /root/.xauth
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.tcshrc
### Warning: File system error.
### Filename: /root/.tcshrc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.sawfish
### Warning: File system error.
### Filename: /root/.sawfish
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.pinerc
### Warning: File system error.
### Filename: /root/.pinerc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.mc
### Warning: File system error.
### Filename: /root/.mc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.gnome_private
### Warning: File system error.
### Filename: /root/.gnome_private
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.gnome-desktop
### Warning: File system error.
### Filename: /root/.gnome-desktop
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.gnome
### Warning: File system error.
### Filename: /root/.gnome
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.esd_auth
### Warning: File system error.
### Filename: /root/.esd_auth
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.elm
### Warning: File system error.
### Filename: /root/.elm
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.cshrc
### Warning: File system error.
### Filename: /root/.cshrc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bashrc
### Warning: File system error.
### Filename: /root/.bashrc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bash_profile
### Warning: File system error.
### Filename: /root/.bash_profile
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bash_logout
### Warning: File system error.
### Filename: /root/.bash_logout
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bash_history
--- Generating information for: /root/.bash_history
Processing: /root/.amandahosts
### Warning: File system error.
### Filename: /root/.amandahosts
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.addressbook.lu
### Warning: File system error.
### Filename: /root/.addressbook.lu
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.addressbook
### Warning: File system error.
### Filename: /root/.addressbook
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.Xresources
### Warning: File system error.
### Filename: /root/.Xresources
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.Xauthority
--- Generating information for: /root/.Xauthority
Processing: /root/.ICEauthority
--- Generating information for: /root/.ICEauthority
Processing: /dev/log
--- Generating information for: /dev/log
Processing: /dev/cua0
--- Generating information for: /dev/cua0
Processing: /dev/console
--- Generating information for: /dev/console
Processing: /dev/tty3
--- Generating information for: /dev/tty3
Processing: /dev/tty4
--- Generating information for: /dev/tty4
Processing: /dev/tty5
--- Generating information for: /dev/tty5
Processing: /dev/tty6
--- Generating information for: /dev/tty6
Processing: /dev/urandom
--- Generating information for: /dev/urandom
Processing: /dev/initctl
--- Generating information for: /dev/initctl
Software interrupt forced exit: Segmentation Fault

Hat jemand schonmal ähnliche Probleme gehabt ???

So, das Problem hat sich erledigt... hab eine andere tripwire rpm installiert und jetzt ging es ohne probleme....

jedoch funktioniert das script aus dem mini-how-to bei mir irgendwie nicht...
hat einer von euch noch jemand ein script, welches die Tripwire DB checkt ???
Würde mich freuen, wenn Ihr das mal posten könntet....

Ansonsten kann ich auch selber so ein script schreiben.... mit welchem befehl checkt man denn die db ??? und wohin geht dann das ergebnis ?

ist das das mini-howto von mir?

ich versuchs mal schnell ausm kopf :)

# checken
tripwire -m c -s

checkt die datenbank
-s silent

ohne -s printet er das ergebnis an stdout

es legt dann einen reportfile unter /var/lib/tripwire/report ab
das ist das (mit einem editor nicht lesbare) ergebnis

was funzt denn an dem script net, wenns das meinige ist?

greez

hi !

ok, danke.... ich probier den check gerade mal aus... mal sehen ob`s funzt....

Bei deinem Script hat er Probleme mit folgenden Zeilen:

LAST_REP=`ls /var/lib/tripwire/report|tail -n 1`
....
if [$VIOLATIONS -gt 0]; then... <--hier hat er probleme mit dem gt ....



ist aber eigentlich egal, wenn er mit dem Befehl

tripwire -m c -s

eine logdatei unter /var/lib/tripwire/reports ablegt... das würde mir schon reichen.... dann schreibe ich diesen befehl einfach in ein script und lasse den dann per Cron einmal in der nacht ausführen....

mit dem -gt sollte er keine probs haben

entweder hast du die abstände zwischen den "[" und "]" nicht eingehalten (immer ein freizeichen), oder der grep nach den violations hat einen fehler (im script von mir hat er keinen fehler)

greez

kann sein, das die abstände nicht gestimmt haben... ich will dir hier ja auch nichts unterstellen... ;)

Aber wenn das oben mit dem befehl klappt und der logt dann in /var/lib/tripwire/reports bin ich schon sehr zufrieden !!!

mist !

zu früh gefreut.... jetzt habe ich gerade den befehl

tripwire -m c aufgeführt um das mal zu testen, aber er hat mit einem fehler abgebrochen:

linuxserver:/home/waldhoff # tripwire -m c
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check...
Software interrupt forced exit: Segmentation Fault


mist !!!

Hatte noch niemand ein Problem mit diesem Segmentation Fault ???

Die DB ist wie gesagt erfolgreich angelegt worden, aber wenn ich die DB mit

"tripwire -m c" ausführe kann irgendwann dieser Fehler nachdem er schon eine ganze Zeit geackert hat....

es scheint jetzt fast so als ob es läuft....

ich habe Tripwire installiert.... die DB erstellt.... und einen CRON Job erstellt, der jede Nacht um 01:00 Uhr die DB checkt....
Ich hatte vorgestern mal den Befehl:

tripwire -m c

ausprobiert, weil ich die DB mal zum Test checken wollte.... jedoch hat er dann irgendwann mit einem Segmentation Fault abgebrochen (siehe oben).

Im Cron Job, bzw. im Script, welches CRON ausführt habe ich folgendes stehen:

#!/bin/bash
#TRIPWIRE DB CHECKEN
tripwire -m c -s

Und es sieht so aus als ob er mit dem Zusatz s (silent) das ganze ausführen kann....
Ich hatte gestern mal unter /var/lib/tripwire/report nachgesehen und da wurde tatsächlich über Nacht ein Report abgelegt... :)

Nur leider kann ich den Report nicht lesen, wenn ich Ihn einfach öffne... aber ich denke da bietet Tripwire eine Option mit der man das öffnen kann, oder ?

Und es sieht so aus als ob er mit dem Zusatz s (silent) das ganze ausführen kann....

Ich denke eher Snort zeigt die Fehkermeldung nur nicht mehr...
Guck dir mal andere HowTos im Netz an...

mfg
cane

logo kannst du ihn nicht öffnen - ist ein binary format (AFAIK sogar verschlüsselt) ;)


host:~/bin # tripwire -m c -s
Tripwire(R) 2.3.0 Integrity Check Report

Report generated by: root
Report created on: Tue Jan 13 10:41:12 2004
Database last updated on: Fri Jan 9 08:11:54 2004

================================================== =============================
Report Summary:
================================================== =============================

Host name: host
Host IP address: xxx.xx.xx.xxx
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/elninjo.twd
Command line used: tripwire -m c -s

================================================== =============================
Rule Summary:
================================================== =============================

-------------------------------------------------------------------------------
Section: Unix File System
-------------------------------------------------------------------------------

Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
0 0 0 0
(/)
etc 0 0 0 0
(/etc)

Total objects scanned: 20824
Total violations found: 0

================================================== =============================
Object Summary:
================================================== =============================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

No violations.

================================================== =============================
Error Report:
================================================== =============================

No Errors

-------------------------------------------------------------------------------
*** End of report ***

Tripwire 2.3 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.


wie du siehst, muss er eigentlich bei tripwire -m c -s einen solchen report nach stdout printen
hast du diesen befehl schonmal in der kommandozeile abgesetzt - also nicht als cronjob?

greez

ich denke du meinst tripwire... ;)

Also... du hast schon recht das er durch das -s keine ausgaben und somit auch keine fehlermeldungen mehr ausgibt.... aber:

Als ich den Befehl ohne -s ausgeführt habe, hat er auch keinen Report angelegt... und jetzt wo der check über nacht mit dem -s zusatz durchgelaufen ist, hat er plötzlich einen Report generiert.... deshalb hab ich geschrieben, das es jetzt wahrscheinlich funktioniert....

ich brauche nur noch einen befehl, womit ich den report einsehen kann..... vielleicht erkenne ich ja dann doch noch einen fehler.... ?!?!

ich denke du meinst tripwire...

Ja, natürlich - hatte noch keinen Kaffee;)

Führe mal den Befehl von emba aus...

cane

wie ??? jetzt bin ich ein bisschen durcheinander....

ich dachte tripwire -m c -s ist dazu da um die DB zu checken !?!?! :confused:
...und nicht um den Binären Report auszuwerten !
Gerade mit diesem Befehl hat er ja bei mir den Report über nacht erzeugt !!!

mit diesem befehl checkst du die DB auf veränderungen und danach wird ein report file angelegt...nebenbei gibt dir dieser befehl aber noch auf stdout das ergebnis seines checks...

mehr nicht
wer hat denn etwas anderes behauptet?

greez

Mach doch mal ein man tripwire und schau Dir die Optionen genauer an.
Alternativ lies bitte das
http://www.linux-magazin.de/Artikel/ausgabe/2001/05/tripwire/tripwire.html
oder suche hier
http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=tripwire&meta=lr%3Dlang_de

mfg
cane

weiter oben im thread hast du geschrieben das der befehl ohne das -s das Ergebnis an stdout printet...

naja.. ist ja auch egal.... gibt es keinen anderen befehl um nur den report auszuwerten, bzw anzusehen ???
Kann doch nicht sein, das man nur den Report sehen kann, wenn man gleichzeitig auch einen check der DB durchführt ?!?!

danke für die links !!!
sieht ja fast so aus, als ob ich nur "tripwire" ohne argumente ausführen muss um einen bericht zu bekommen.... werde ich später mal testen....

jetzt hab ich`s gefunden....


Das ganze geht mit dem befehl "twprint"....

/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/<Name>.twr

@mark

upsi, da haben wir uns wohl mißverstanden
mit ergebnis meinte ich den status während des checks...also

"checking ..."

sorry,
und das mit dem auswerten des reportfiles ist korrekt
hab mein wissen "geupdated"

greez

Hmmm.... irgendwie mag mich Tripwire nicht... :rolleyes:
Ich hatte gestern mal den letzten Report von Tripwire ausgewertet und habe da ein paar Verzeichnisse gefunden, die er eigentlich lieber doch nicht überprüfen sollte..... ich hab dann also die twpol.txt angepasst..... neu verschlüsselt.... und hab dann begonnen die DB neu zu erstellen.... alles wie in dem Mini-How-To ... hat auch alles geklappt bis auf die DB Erstellung....

er hat immer im /etc verzeichnis irgendwann einen "Software interrupt forced exit: Segmentation Fault" ausgelöst..... :(
Keine Ahnung warum... und das meiste was mich daran aufregt ist die Tatsache, das Tripwire ja schon lief !!! es hatte ja schon funktioniert !!!

Jetzt wollte ich nur die twpol verändern, neu verschlüsseln und die db neu erstellen... aber das geht jetzt gar nicht mehr !!! Ich hab Tripwire auch schon 2 mal deinstalliert und alles neu eingestellt... aber immer dasselbe.... ich bekomms jetzt einfach nicht mehr zum laufen... ist jetzt schon das 2. Mal das ich so ein Phänomen habe... bei DVD::RIP hats beim ersten mal auch geklappt und er hat eine DVD gerippt.... danach ging gar nichts mehr....

Irgendwie ist das ganz schön frustrierend.... vor allem weil er immer so lange für die db erstellung braucht und dann irgendwann nach 15 oder 20 Minuten abbricht... :(

Ich hatte jetzt zwischenzeitlich Tripwire installiert bekommen... doch dann hatte ich an der Policy Datei noch ein paar Änderungen vorgenommen, weil es zu viele false positives gab....
Dann hab ich die twpol.txt wieder umgewandelt und wollte die DB neu schreiben lassen...
seitdem bekomme ich es nicht mehr hin, die DB zu erstellen... hab tripwire zwischenzeitlich auch mal wieder deinstalliert und neu installiert... aber immer dasselbe...
ich bekomme irgendwann bei der DB erstellung einen Segmentation Fault .... ich glaube das ist ein Buffer Overflow oder ?
Wie kann das sein ????

nur kurz eine frage:

schon diese ergebnisse mal durchgrept?
http://www.google.de/search?q=segmentation+fault+tripwire&ie=UTF-8&oe=UTF-8&hl=de&btnG=Google+Suche

evtl. ist was bei? :confused:

greez