molti sysadmin avranno sicuramente avuto modo nella loro vita professionale di imbattersi nell’arduo (se non a volte impossibile) compito di rimettere in sesto dei sistemi danneggiati da intrusioni di utenti malintenzionati. in casi come questo, ci sono dei software chiamati host based IDS, che ci possono venire in aiuto, se non altro facilitandoci il lavoro, tenendo traccia di tutti i file modificati in un certo arco di tempo.

in questo articolo andremo ad illustrare i passi necessari per la configurazione di tripwire, uno dei più diffusi host based IDS. disponibile sia in versione open source che in versione commerciale, è un software che una volta installato e configurato ci informerà di tutte le modifiche che avvengono nel file system, rispetto ad uno stato iniziale considerato “sicuro” che verrà salvato in un database.

su un sistema operativo come ubuntu, possiamo installare il software con un semplice apt-get install tripwire

al termine dell’installazione verrà avviata automaticamente la configurazione iniziale del programma, durante la quale ci verrà chiesto di inserire la “site key” e la “local key”, con cui tripwire provvederà a creare in /etc/tripwire i file di configurazione con le policy di default, in particolare i file tw.cfg e tw.pol. è consigliato rendere questi file leggibili solo dall’utente root con il comando chmod 0600 /etc/tripwire/tw.cfg /etc/tripwire/tw.pol  (continua…)