Hi Leute,

welche Dateien sollte ich auf eine Diskette kopieren, um sie vor Manipulationen zu schützen. Ich möchte gerne eine konsistente Version meiner Tripwire-DB auf Diskette. Welche Dateien brauche ich noch um Tripwire komplett von Diskette laufen zu lassen?

Danke.

hi

AFAIK reichen die beiden keys und das tripwire binary

die DB brauchst du nicht: fehlt sie bzw. schlägt die prüfsummenprüfung über diese datei fehl, ist eh etwas faul :)

greez

IMHO benötigst Du:
- die Konfigurationsdatei
- das Binary
- und die DB.

Harry

@harry

wie so die config und die DB?
die DB ist mit dem lokalen key signiert, wodurch der admin merken würde, wenn sie verändert wird

gleiches gilt für die configs

greez

Schon klar das die DB und das Config File signiert sind. Ich würde nur gerne, für alle Fälle, eine Diskette haben, von der aus ich das System komplett checken kann. Ohne das ich mir Gedanken machen muss ob die DB geändert wurde, da sie auf einer schreibgeschützten Diskette ist.

Hi emba,


@harry

wie so die config und die DB?
die DB ist mit dem lokalen key signiert, wodurch der admin merken würde, wenn sie verändert wird

gleiches gilt für die configs

greez

naja ich denke mir folgendes:
Was nützt es dem Admin, wenn er feststellt, dass die Signatur der DB und/oder die Signatur der Konfig nicht mehr stimmt und somit der Inhalt nicht mehr vertrauenswürdig ist? Er weiss lediglich, dass er diese Files nicht weiter benutzen darf.

Wenn die Signatur der DB nicht mehr stimmt, dann kann er sein System auch gleich neu aufsetzen, da die Basis für die Überprüfung _aller_ Dateien nicht mehr zuverlässig ist. In der Folge könnten auch beliebige andere Dateien auf dem Filesystem geändert worden sein - was aber nicht mehr überprüft werden kann.

Aus dem Grunde würde ich _persönlich_ Konfig, Binary und DB auf ein externes Medium sichern. Oder habe ich vielleicht doch eine komfortablere Möglichkeit übersehen? :)

Harry

Genau aus dem Grund will ich ja alles auf Diskette, ich habe nur keine Ahnung was ich da alles brauche und ob es so einfach möglich ist.

Konfig, Binary und DB

Harry sagte es bereits ;)

mfg
cane

Auch auf jeden Fall mal den Ernstfall proben. Bei der tripwire-Version die ich hier einsetz, geht es nämlich nicht ganz so einfach.

Problem: Um die Integrität der Daten wirklich prüfen zu können, muss man ja von einem sauberen System booten. Dadurch ändern sich die Pfade zu den Dateien (aus /etc wird dann beispielsweise /mnt/etc).

Ich hab mir als Lösung eine busybox und statisch gelinkte tripwire binaries gebaut und ein kleines Script geschrieben, das mir das alles korrekt einrichtet und dann ein chroot ausführt. Dadurch wird dann /mnt/etc für tripwire wieder zu /etc. Die Busybox wird benötigt, damit eine eventl. kompromittierte Shell das Ergebnis nicht verfälschen kann.

Vielleicht hab ich ja aber auch was übersehen, oder neue Tripwire-Versionen haben endlich einen "--root=" Parameter (wie z. B. lilo) :)

Ich sehe schon, ist garnicht so einfach. :-)