OSceane
Cybersécurité, OpenSource & Formation

Accueil > Tutoriels > Surveiller l’intégrité d’un système de fichiers avec Tripwire

Surveiller l’intégrité d’un système de fichiers avec Tripwire

samedi 28 juillet 2018, par OSceane

Tripwire est un logiciel qui permet de surveiller l’intégrité de fichiers ou d’arborescences de fichiers et qui signale toute modification apportées. C’est donc un dispositif de sécurité passif fréquemment appelé un HIDS (Host based Intrusion Detection System).

Après avoir installé le logiciel, il faut

  1. Configurer le fichier de « policy » (/etc/tripwire/twpol.txt) qui liste les fichiers et arborescences à surveiller. Puis en générer la version chiffrée et protégée par une passphrase :
  2. Initialiser la base de données qui va servir de référence à Tripwire à partir de laquelle évaluer les modifications apportées au système de fichier (cette base est aussi protégée par une passphrase) :

Par défaut, dans Debian, la base de données générée est enregistrée dans /var/lib/tripwire/nomdelhote.twd

Ceci fait, il suffira par la suite :

  1. de contrôler l’intégrité des fichiers et arborescences spécifiés dans /etc/tripwire/twpol.txt
  2. de mettre à jour la base de données suite à des modifications légitimes apportées aux fichiers ou répertoires surveillées (le plus souvent lors d’installations ou de mises à jour de logiciels). On peut le faire en réinitialisant la base.

http://belkhir.nacim.free.fr/Rapports_20111-2012/Lynda_TILILI/Tripwire/Tripwire%20Tutorial/Tripwire%20tutorial.pdf

https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps

SPIP | | Plan du site | Suivre la vie du site RSS 2.0