Re: tripwire y base de datos que no cabe en un disco
Hola a todos,
Me respondo a mi mismo ;-)
On Fri, Dec 08, 2000 at 10:53:10PM +0100, Manel Marin wrote:
> Hola a todos,
>
> Estoy en lo de montar tripwire en un cliente Linux y el problema es que la
> base de datos comprimida no cabe en un diskete (1.8MBytes)
>
> Claro, venga a instalar e instalar en un disco grande y luego pasa lo que pasa
> ;-)
>
> Se me ha ocurrido que las firmas digitales (con siggen) de la base de datos y
> de tripwire valen para saber que no han sido modificados y la base de datos de
> tripwire se puede quedar en el disco duro y sin comprimir
>
> Para hacer esto he hecho lo siguiente:
> - Recompilado siggen estáticamente para que no dependa de las librerias y lo
> he puesto en un diskete en formato ext2 y solo lectura
> - Imprimo las firmas de:
> el siggen del diskete
> el kernel del disco duro
> el tripwire del disco duro
> todas las bases de datos de tripwire en el disco duro
> - Uso tres firmas: MD5, snefru y SHA (la que usa gnupg) para cada archivo
>
> Testeo las firmas con la hoja impresa una vez al dia y antes de actualizar
> la base de datos cuando instalo algo y las vuelvo a imprimir despues para
> siempre tener firmas actualizadas impresas (con un script para evitar olvidos)
>
>
> A mi me parece que es un sistema seguro y práctico
> ¿Le veis algún inconveniente?
>
La idea es buena, pero cuando llegue un dia que la firma no coincida y
tripwire no reporte cambios ¿como se te va a quedar el cuerpo?
¡¡¡No tienes manera de saber que te han modificado!!!
Además si una sola vez haces un tripwire -interactive sin usar el script, y por
tanto sin imprimir las firmas ya estas vendido...
> Teneis todos los detalles y los scripts que he preparado para esto en mi
> chuleta en desarrollo en http://perso.wanadoo.es/manel3/chuletas/S-tripwire
>
>
>
> Otra alternativa seria tener otra configuración de tripwire mas recortada que
> si que cabria en un diskete, pero tener que actualizar tripwire por duplicado
> es inhumano...
>
>
Definitivamente es mejor no inventar nada y usar un floppy de solo lectura,
el problema es que en un cliente siempre tienes _MUCHOS_ mas paquetes
instalados :-(
¿Me hechais una ayudita para "podar" los archivos a verificar?
De momento descarto lo mismo que en el tw.config original:
/mnt
/home
/root
/var
/tmp
/usr/tmp
/usr/doc
/usr/dict
/usr/info
/usr/man
/usr/src
/usr/share/doc
/usr/share/dict
/usr/share/info
/usr/share/man
/usr/X11R6/man
¿Que mas puedo descartar con seguridad? ¿Alguien se lo ha currado ya?
Saludos,
--
-------------------------------------------------
Manel Marin e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato) kernel 2.2.17
GnuPG keyID: F9BC34B5 en certserver.pgp.com
fingerprint: 2F60 43D5 A297 5458 9067 5A50 0029 9C8D F9BC 34B5
Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
(Pasate por http://www.libranet.com/petition.html ;-)
Reply to: