====== Tripwire ======

ein paar Anmerkungen:

Bei der Installation muss ein "local passphrase" und ein "site passphrase" angegeben werden - **diese darf man nicht vergessen!**

Die Konfiguration unter Ubuntu findet man unter ''/etc/tripwire''

Veränderungen in den Dateien twcfg.txt und twpol.txt müssen "konvertiert" werden:
  * **twcfg.txt -> tw.cfg** \\ ''twadmin -m F -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt''
  * **twpol.txt -> tw.pol** \\ ''twadmin -m P -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twpol.txt''

In der ''twpol.txt'' sollten die Einträge zum ''/root''-Verzeichnis und zum ''/proc''-Pfad angepasst werden. Dabei ist zu kontrollieren, was in einer Server-Installation überhaupt im ''/root''-Verzeichnis vorhanden ist (der Rest kann auskommentiert werden).\\
Im ''/proc''-Pfad sind hierbei der eigentliche Pfad auszukommentieren und statt dessen die Unterverzeichnisse ohne den PID-Pfaden einzupflegen. Hierzu kann der folgende Einzeiler hilfreich sein, dessen Ausgabe an die entsprechende Stelle übernommen werden kann:
<code bash>
for i in $(ls /proc/); do echo -e "\t/proc/$i\t\t-> \$(Device) ;" | grep -v "/proc/[0-9]" ; done''
</code>
Die Tripwire-Datenbank wird nach gemachten Änderungen dann mit ''tripwire -m i'' initialisiert.

Um die Datenbank nach beispielsweise einem System-Update wieder auf Stand zu bringen, sollte zunächst ein erneuter Integritäts-Test durchgeführt werden und dann mit Hilfe des Update-Befehls die Änderungen zu überprüfen/übernehmen:
<code bash>
tripwire --check
tripwire --update --twrfile $(ls /var/lib/tripwire/report/*.twr | tail -n1)
</code> 

===== Quellennachweis =====

  * [[http://www.different-thinking.de/tripwire_howto.php|Tripwire 2.3 Installation und Konfiguration]] von Robert Sieber
  * [[http://www.blog001.de/mit-tripwire-ein-einzelnes-verzeichniss-oder-eine-einzelne-datei-ueberwachen/2015/05/28/|Mit Tripwire ein einzelnes Verzeichniss oder eine einzelne Datei Ueberwachen]] von Stefan Bachem