Tripwire - Problem bei DB Erstellung

[markwaldhoff]

Hi Leute !!!

Ich wollte mir gerade Tripwire installieren.... jetzt habe ich allerdings probleme bei der DB erstellung... (ich habe das mini-how-to hier aus dem forum benutzt)
ich führe den befehl:

tripwire -m i -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key -p /etc/tripwire/tw.pol -L /etc/tripwire/linuxserver-local.key

aus und dann beginnt er die Informationen zu sammeln ... nur irgendwann bricht er mit einem Segmentation Fault ab:


--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nv-misc.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nv.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nv.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/nvtypes.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-agp.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-agp.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-interface.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-interface.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/os-registry.c
--- Generating information for: /root/NVIDIA_kernel-1.0-4499/rmretval.h
--- Generating information for: /root/NVIDIA_kernel-1.0-4499.tar.gz
--- Generating information for: /root/bin
--- Generating information for: /root/bin/.chktwdb.sh.swp
Processing: /root/mail
### Warning: File system error.
### Filename: /root/mail
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/Mail
### Warning: File system error.
### Filename: /root/Mail
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.xsession-errors
--- Generating information for: /root/.xsession-errors
Processing: /root/.xauth
### Warning: File system error.
### Filename: /root/.xauth
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.tcshrc
### Warning: File system error.
### Filename: /root/.tcshrc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.sawfish
### Warning: File system error.
### Filename: /root/.sawfish
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.pinerc
### Warning: File system error.
### Filename: /root/.pinerc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.mc
### Warning: File system error.
### Filename: /root/.mc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.gnome_private
### Warning: File system error.
### Filename: /root/.gnome_private
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.gnome-desktop
### Warning: File system error.
### Filename: /root/.gnome-desktop
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.gnome
### Warning: File system error.
### Filename: /root/.gnome
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.esd_auth
### Warning: File system error.
### Filename: /root/.esd_auth
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.elm
### Warning: File system error.
### Filename: /root/.elm
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.cshrc
### Warning: File system error.
### Filename: /root/.cshrc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bashrc
### Warning: File system error.
### Filename: /root/.bashrc
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bash_profile
### Warning: File system error.
### Filename: /root/.bash_profile
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bash_logout
### Warning: File system error.
### Filename: /root/.bash_logout
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.bash_history
--- Generating information for: /root/.bash_history
Processing: /root/.amandahosts
### Warning: File system error.
### Filename: /root/.amandahosts
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.addressbook.lu
### Warning: File system error.
### Filename: /root/.addressbook.lu
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.addressbook
### Warning: File system error.
### Filename: /root/.addressbook
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.Xresources
### Warning: File system error.
### Filename: /root/.Xresources
### Datei oder Verzeichnis nicht gefunden
### Continuing...
Processing: /root/.Xauthority
--- Generating information for: /root/.Xauthority
Processing: /root/.ICEauthority
--- Generating information for: /root/.ICEauthority
Processing: /dev/log
--- Generating information for: /dev/log
Processing: /dev/cua0
--- Generating information for: /dev/cua0
Processing: /dev/console
--- Generating information for: /dev/console
Processing: /dev/tty3
--- Generating information for: /dev/tty3
Processing: /dev/tty4
--- Generating information for: /dev/tty4
Processing: /dev/tty5
--- Generating information for: /dev/tty5
Processing: /dev/tty6
--- Generating information for: /dev/tty6
Processing: /dev/urandom
--- Generating information for: /dev/urandom
Processing: /dev/initctl
--- Generating information for: /dev/initctl
Software interrupt forced exit: Segmentation Fault

Hat jemand schonmal ähnliche Probleme gehabt ???

[markwaldhoff]

So, das Problem hat sich erledigt... hab eine andere tripwire rpm installiert und jetzt ging es ohne probleme....

jedoch funktioniert das script aus dem mini-how-to bei mir irgendwie nicht...
hat einer von euch noch jemand ein script, welches die Tripwire DB checkt ???
Würde mich freuen, wenn Ihr das mal posten könntet....

Ansonsten kann ich auch selber so ein script schreiben.... mit welchem befehl checkt man denn die db ??? und wohin geht dann das ergebnis ?

[emba]

ist das das mini-howto von mir?

ich versuchs mal schnell ausm kopf

# checken
tripwire -m c -s

checkt die datenbank
-s silent

ohne -s printet er das ergebnis an stdout

es legt dann einen reportfile unter /var/lib/tripwire/report ab
das ist das (mit einem editor nicht lesbare) ergebnis

was funzt denn an dem script net, wenns das meinige ist?

greez

[markwaldhoff]

hi !

ok, danke.... ich probier den check gerade mal aus... mal sehen ob`s funzt....

Bei deinem Script hat er Probleme mit folgenden Zeilen:

LAST_REP=`ls /var/lib/tripwire/report|tail -n 1`
....
if [$VIOLATIONS -gt 0]; then... <--hier hat er probleme mit dem gt ....



ist aber eigentlich egal, wenn er mit dem Befehl

tripwire -m c -s

eine logdatei unter /var/lib/tripwire/reports ablegt... das würde mir schon reichen.... dann schreibe ich diesen befehl einfach in ein script und lasse den dann per Cron einmal in der nacht ausführen....

[emba]

mit dem -gt sollte er keine probs haben

entweder hast du die abstände zwischen den "[" und "]" nicht eingehalten (immer ein freizeichen), oder der grep nach den violations hat einen fehler (im script von mir hat er keinen fehler)

greez

[markwaldhoff]

kann sein, das die abstände nicht gestimmt haben... ich will dir hier ja auch nichts unterstellen...

Aber wenn das oben mit dem befehl klappt und der logt dann in /var/lib/tripwire/reports bin ich schon sehr zufrieden !!!

[markwaldhoff]

mist !

zu früh gefreut.... jetzt habe ich gerade den befehl

tripwire -m c aufgeführt um das mal zu testen, aber er hat mit einem fehler abgebrochen:

linuxserver:/home/waldhoff # tripwire -m c
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check...
Software interrupt forced exit: Segmentation Fault


mist !!!

[markwaldhoff]

Hatte noch niemand ein Problem mit diesem Segmentation Fault ???

Die DB ist wie gesagt erfolgreich angelegt worden, aber wenn ich die DB mit

"tripwire -m c" ausführe kann irgendwann dieser Fehler nachdem er schon eine ganze Zeit geackert hat....

[markwaldhoff]

es scheint jetzt fast so als ob es läuft....

ich habe Tripwire installiert.... die DB erstellt.... und einen CRON Job erstellt, der jede Nacht um 01:00 Uhr die DB checkt....
Ich hatte vorgestern mal den Befehl:

tripwire -m c

ausprobiert, weil ich die DB mal zum Test checken wollte.... jedoch hat er dann irgendwann mit einem Segmentation Fault abgebrochen (siehe oben).

Im Cron Job, bzw. im Script, welches CRON ausführt habe ich folgendes stehen:

#!/bin/bash
#TRIPWIRE DB CHECKEN
tripwire -m c -s

Und es sieht so aus als ob er mit dem Zusatz s (silent) das ganze ausführen kann....
Ich hatte gestern mal unter /var/lib/tripwire/report nachgesehen und da wurde tatsächlich über Nacht ein Report abgelegt...

Nur leider kann ich den Report nicht lesen, wenn ich Ihn einfach öffne... aber ich denke da bietet Tripwire eine Option mit der man das öffnen kann, oder ?

[cane]

Und es sieht so aus als ob er mit dem Zusatz s (silent) das ganze ausführen kann....

Ich denke eher Snort zeigt die Fehkermeldung nur nicht mehr...
Guck dir mal andere HowTos im Netz an...

mfg
cane

[emba]

logo kannst du ihn nicht öffnen - ist ein binary format (AFAIK sogar verschlüsselt)


host:~/bin # tripwire -m c -s
Tripwire(R) 2.3.0 Integrity Check Report

Report generated by: root
Report created on: Tue Jan 13 10:41:12 2004
Database last updated on: Fri Jan 9 08:11:54 2004

================================================== =============================
Report Summary:
================================================== =============================

Host name: host
Host IP address: xxx.xx.xx.xxx
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/elninjo.twd
Command line used: tripwire -m c -s

================================================== =============================
Rule Summary:
================================================== =============================

-------------------------------------------------------------------------------
Section: Unix File System
-------------------------------------------------------------------------------

Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
0 0 0 0
(/)
etc 0 0 0 0
(/etc)

Total objects scanned: 20824
Total violations found: 0

================================================== =============================
Object Summary:
================================================== =============================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

No violations.

================================================== =============================
Error Report:
================================================== =============================

No Errors

-------------------------------------------------------------------------------
*** End of report ***

Tripwire 2.3 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.


wie du siehst, muss er eigentlich bei tripwire -m c -s einen solchen report nach stdout printen
hast du diesen befehl schonmal in der kommandozeile abgesetzt - also nicht als cronjob?

greez

[markwaldhoff]

ich denke du meinst tripwire...

Also... du hast schon recht das er durch das -s keine ausgaben und somit auch keine fehlermeldungen mehr ausgibt.... aber:

Als ich den Befehl ohne -s ausgeführt habe, hat er auch keinen Report angelegt... und jetzt wo der check über nacht mit dem -s zusatz durchgelaufen ist, hat er plötzlich einen Report generiert.... deshalb hab ich geschrieben, das es jetzt wahrscheinlich funktioniert....

ich brauche nur noch einen befehl, womit ich den report einsehen kann..... vielleicht erkenne ich ja dann doch noch einen fehler.... ?!?!

[cane]

ich denke du meinst tripwire...

Ja, natürlich - hatte noch keinen Kaffee

Führe mal den Befehl von emba aus...

cane

[markwaldhoff]

wie ??? jetzt bin ich ein bisschen durcheinander....

ich dachte tripwire -m c -s ist dazu da um die DB zu checken !?!?!
...und nicht um den Binären Report auszuwerten !
Gerade mit diesem Befehl hat er ja bei mir den Report über nacht erzeugt !!!

[emba]

mit diesem befehl checkst du die DB auf veränderungen und danach wird ein report file angelegt...nebenbei gibt dir dieser befehl aber noch auf stdout das ergebnis seines checks...

mehr nicht
wer hat denn etwas anderes behauptet?

greez