TRIPWIRE File Integrity Checks
description
Transcript of TRIPWIRE File Integrity Checks
TRIPWIREFile Integrity Checks
Teknik InformatikaPoliteknik Elektronika Negeri Surabaya
Objective
Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca Laporan Tripwire
Distribusi Tripwire
Debian RedHat Caldera Turbolinux SuSE BSD FreeBSD
Overview Tripwire Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor perubahan yang terjadi
pada sebuah sistem
Mengapa Tripwire penting ?
Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program
Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya
Bagaimana Tripwire Bekerja ?
Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file
Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat
Apa yang dikerjakan Tripwire ?
File Integrity Checking Tripwire mamppu mendeteksi perubahan
file Tripwire membandingkan antara database
file sebelum pengecekan dengan sesudah pengecekan
Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi
perubahan file/system False positif karena salah setting pada file
policy, file konfigurasi, atau tidak update database
Triwire bukan antivirus Tripwire dapat dimanipulasi
Source Tripwire
www.tripwire.org http://sourceforge.net/projects/tripwire/ http://www.tripwire.com/
Dimana Tripwire Dipasang?
Terlindung Media Read Only
4 Komponen File Konfigurasi
File KonfigurasiDigunakan untuk melakukan konfigurasi tripwireFile /etc/tripwire/tw.cfgFile /etc/tripwire/twcfg.txt
File PolicyAdmin dapat menentukan bagaimana tripwire
melakukan cek thd sistemFile /etc/tripwire/tw.polFile /etc/tripwire/twpol.txt
File DatabaseDigunakan untuk menyimpan database
informasi sistemDiperoleh waktu pertama installasiFile /var/lib/tripwire/<comp>.<domain>.twd
File ReportDiperoleh dari hasil pengecekanLaporan file termasuk perubahan yang
terjadi di sistemFile
/var/lib/tripwire/report/<comp>.<domain> -<yymmdd>-<time>.twr
Site Key & Local Key Password
Site key password melindungi file configurasi dan policy
Local key password melindungi file database dan report
Troubleshooting Tripwire
Install dan customisasi file konfigurasi dan policy
Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila
pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem
Bila pelanggaran di luar kuasa admin, lakukan
tindakan pencegahan yang diperlukan Bila pelanggaran karena admin mengubah sistem,
cek apakah error disebabkan oleh file policy. Jika bukan disebabkan file policy, update databe
tripwire Jika disebabkan file policy, update file policy
Inisialisasi database
/usr/sbin/tripwire --init Perintah ini akan membangun database ttg
konfigurasi sistem Diperoleh waktu pertama installasi tripwire
File /var/lib/tripwire/<comp>.<domain>.twd Print file database
/usr/sbin/twprint -m d --print-dbfile | less Print file tertentu
/usr/sbin/twprint -m d --print-dbfile /etc/hosts
Cek Integritas System
/usr/sbin/tripwire --check Dengan menggunakan cron, admin mengatur
pengecekan sistem secara berkala Hasil pengecekan bisa diemailkan secara
otomatis Print hasil cek :
twprint -m r --twrfile /var/lib/tripwire/report/
nama-file-report.twr
Melakukan update policy
Edit file /etc/tripwire/twpol.txt Beri comment baris-baris dengan #
# /etc/smb.conf -> $(SEC_CONFIG) ;HOSTNAME=<comp_name>.<domain>
Bila file twpol.txt tidak ada, generate dengan twadmin --print-polfile > /etc/tripwire/twpol.txt
Generate file tw.pol dengan /usr/sbin/twadmin --create-polfile -S site.key
/etc/tripwire/twpol.txt Mengupdate file tw.pol :
tripwire --update-policy /etc/tripwire/twpol.txt
Update database
Hapus file database yang lamarm /var/lib/tripwire/nama-file.twd
Buat file database baru /usr/sbin/tripwire --init
Update file database : /usr/sbin/tripwire --update --twrfile
/var/lib/tripwire/report/nama-file.twr
Tripwire Interaktif
Mengupdate database interaktif : /usr/sbin/tripwire --interactive
Cek dan membandingkan dg databasetripwire --check --interactive
Tripwire dan email Edit policy file :
(
rulename = "Networking Programs",
severity = $(SIG_HI),
emailto = [email protected];
) Emailkan :
/usr/sbin/tripwire --test --email [email protected];
Tripwire dan cron
Masukkan skrip runtw.sh di /usr/local/bin #!/bin/sh /usr/sbin/tripwire -m c | mail -s
"Tripwire Report from HOST" root@localhost Edit tabel crontab dg crontab -e Jadwalkan skrip runtw.sh agar berjalan pukul
1:01 pagi dg perintah :1 1 * * * /usr/local/bin/runtw.sh
Tripwire Report
Aplikasi File Integrity Checkers
AIDE NABOU Integrit Samhain ViperDB
http://www.resentment.org/projects/viperdb/ FCHECK
http://sites.netscape.net/fcheck/fcheck.html Sentinel
http://zurk.netpedia.net/zfile.html
Selamat Belajar !!!