Re: tripwire y base de datos que no cabe en un disco

To: Lista Debian Castellano <debian-user-spanish@lists.debian.org>
Subject: Re: tripwire y base de datos que no cabe en un disco
From: Manel Marin <manel3@apdo.com>
Date: Mon, 11 Dec 2000 19:26:42 +0100
Message-id: <[🔎] 20001211192641.A6774@sirius.local>
Mail-followup-to: Lista Debian Castellano <debian-user-spanish@lists.debian.org>
In-reply-to: <[🔎] 20001208225310.A2993@sirius.local>; from manel3@apdo.com on Fri, Dec 08, 2000 at 10:53:10PM +0100
References: <[🔎] 20001208225310.A2993@sirius.local>

Hola a todos,

Me respondo a mi mismo ;-)

On Fri, Dec 08, 2000 at 10:53:10PM +0100, Manel Marin wrote:
> Hola a todos,
> 
> Estoy en lo de montar tripwire en un cliente Linux y el problema es que la
> base de datos comprimida no cabe en un diskete (1.8MBytes)
> 
> Claro, venga a instalar e instalar en un disco grande y luego pasa lo que pasa
> ;-)
> 
> Se me ha ocurrido que las firmas digitales (con siggen) de la base de datos y
> de tripwire valen para saber que no han sido modificados y la base de datos de
> tripwire se puede quedar en el disco duro y sin comprimir
> 
> Para hacer esto he hecho lo siguiente:
> - Recompilado siggen estáticamente para que no dependa de las librerias y lo
>     he puesto en un diskete en formato ext2 y solo lectura
> - Imprimo las firmas de:
>     el siggen del diskete
>     el kernel del disco duro
>     el tripwire del disco duro
>     todas las bases de datos de tripwire en el disco duro
> - Uso tres firmas: MD5, snefru y SHA (la que usa gnupg) para cada archivo
> 
> Testeo las firmas con la hoja impresa una vez al dia y antes de actualizar
> la base de datos cuando instalo algo y las vuelvo a imprimir despues para
> siempre tener firmas actualizadas impresas (con un script para evitar olvidos)
> 
> 
> A mi me parece que es un sistema seguro y práctico
>     ¿Le veis algún inconveniente?
> 

La idea es buena, pero cuando llegue un dia que la firma no coincida y
tripwire no reporte cambios ¿como se te va a quedar el cuerpo?
¡¡¡No tienes manera de saber que te han modificado!!!

Además si una sola vez haces un tripwire -interactive sin usar el script, y por
tanto sin imprimir las firmas ya estas vendido...


> Teneis todos los detalles y los scripts que he preparado para esto en mi
> chuleta en desarrollo en http://perso.wanadoo.es/manel3/chuletas/S-tripwire
> 
> 
> 
> Otra alternativa seria tener otra configuración de tripwire mas recortada que
> si que cabria en un diskete, pero tener que actualizar tripwire por duplicado
> es inhumano...
> 
> 

Definitivamente es mejor no inventar nada y usar un floppy de solo lectura,
el problema es que en un cliente siempre tienes _MUCHOS_ mas paquetes
instalados :-(

¿Me hechais una ayudita para "podar" los archivos a verificar?
De momento descarto lo mismo que en el tw.config original:
/mnt
/home
/root
/var
/tmp
/usr/tmp
/usr/doc
/usr/dict
/usr/info
/usr/man
/usr/src
/usr/share/doc
/usr/share/dict
/usr/share/info
/usr/share/man
/usr/X11R6/man

¿Que mas puedo descartar con seguridad? ¿Alguien se lo ha currado ya?




Saludos,
-- 
-------------------------------------------------
Manel Marin   e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato)  kernel 2.2.17

GnuPG keyID: F9BC34B5 en certserver.pgp.com
fingerprint: 2F60 43D5 A297 5458 9067  5A50 0029 9C8D F9BC 34B5

Mira mis chuletas de Linux en  http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
 (Pasate por http://www.libranet.com/petition.html ;-)

Reply to:

References:
- tripwire y base de datos que no cabe en un disco
  - From: Manel Marin <manel3@apdo.com>

Prev by Date: Que controladora SCSI compro?
Next by Date: Re: Instalacion de qmail
Previous by thread: tripwire y base de datos que no cabe en un disco
Next by thread: pump
Index(es):
- Date
- Thread