Tripwire und Alternativen

7

Ich frage mich, ob mich jemand hierher führen könnte. Ich habe 3 dedizierte Linux-Server und möchte tripwire installieren, um Änderungen in den Schlüsseldateien / Ordnern im Dateisystem zu verfolgen

Erste Untersuchungen haben gezeigt, dass es dafür keine 64-Bit-Version gibt (meine Server sind 64-Bit), außer der kommerziellen Version von Tripwire, die mit hohen Kosten verbunden ist.

Gibt es andere gute Alternativen zur kommerziellen Version von tripwire, die ähnliche oder bessere Funktionen bieten können (kostenlos oder nicht)?

Vielen Dank,

Kennzeichen.

security unix
quelle

Antworten:

11

Die beste Alternative ist AIDE . Sie sollten in der Lage sein, die 64-Bit-Version mit Ihrem Paketmanager wie in den meisten Distributionen zu installieren - CentOS hat v0.13.1 im Basis-Repository.

Wie es sagt:

AIDE (Advanced Intrusion Detection Environment) ist ein kostenloser Ersatz für Tripwire. Es macht die gleichen Dinge wie das halbfreie Tripwire und mehr.

Es gibt andere kostenlose Ersatzprodukte. Warum also ein neues bauen? Alle anderen Ersetzungen erreichen nicht das Tripwire-Niveau. Und ich wollte ein Programm, das die Grenzen von Tripwire überschreitet.

Update von 2019:

Der ursprüngliche Link oben für AIDE scheint tot zu sein. Das Projekt lebt in Github unter https://aide.github.io/ weiter . Interessanterweise sind sowohl AIDE als auch eine derzeit gewartete Version von Tripwire jetzt auf Github verfügbar:

gbjbaanb
quelle
Vielen Dank, dass Sie sich bei mir gemeldet haben. Ich habe AIDE bereits installiert, aber ich glaube, es verschlüsselt die Datenbank nicht wie Tripwire. Das Problem, das ich sowohl bei AIDE als auch bei Free Trip Wire sehen kann, ist jedoch, dass beide Berichte im "Raw" -Format erstellen und Sie ein gewisses Maß an administrativem technischem Fachwissen für Unix-Server benötigen, um die Berichte zu analysieren, über die ich nicht verfüge. Gibt es Anwendungen, die eine benutzerfreundlichere Analyse ermöglichen, ohne die Detailgenauigkeit von Tripwire / Aide zu beeinträchtigen? Ich denke, ich versuche herauszufinden, ob es sich lohnt, das Geld für unfreie Twire auszugeben!
Die Verschlüsselung ist noch nicht alles - Sie führen AIDE als bestimmten Benutzer aus, und nur dieser Benutzer erhält Zugriff auf die Datei. Wenn ein Angreifer root wird, um es anzuzeigen, haben Sie trotzdem Probleme - ein Angreifer könnte die Tripwire-Binärdatei durch etwas ersetzen, das "keine Probleme" sagt, und Sie würden es nie erfahren oder einfach die Tripwire-Datenbank löschen. Führen Sie daher immer zuerst AIDE aus und halten Sie die Datenbank auf einem schreibgeschützten Medium (z. B. einer CD-ROM). Einmal eingerichtet und optimiert, sollten Sie keine wirklichen Ergebnisse in den Protokollen erhalten - verwenden Sie diese hauptsächlich für Änderungen an Systemdateien, nicht für erwartete Benutzer. Siehe securityfocus.com/infocus/1424 .
Gbjbaanb
1

Vielleicht sehen Sie sich fcheck an . Es ist ziemlich alt, aber ich mag seinen Statusbericht: Hier ist ein Beispielbericht:

PROGRESS: validating integrity of /usr/lib/
STATUS:passed...

PROGRESS: validating integrity of /root/
STATUS:
    WARNING: [hostname] /root/.bash_history
    [Sizes: 13769 - 14445, Times: Jul 01 11:56 2010 - Jul 01 14:48 2010, CRCs: c298c20f5c2a594c3dc9a1bfa517192c - 197d2284d1182505bc357a505af72472]
weeheavy
quelle
1

Sie sagten, Sie möchten "Änderungen in den Schlüsseldateien / Ordnern im Dateisystem verfolgen".

Warum? Was ist das Endziel? Tun Sie dies aus Sicherheitsgründen oder aus anderen Gründen? Welche Art von Granularität benötigen Sie?

Viele Backup-Systeme wie Bacula nehmen Prüfsummen von Dateien und vergleichen sie nach dem Zeitplan, auf dem das System ausgeführt wird ...

Jason Antman
quelle