*+EJECUCION+O+PUESTA+EN+MARCHA

===............................INSTALADO Y CONFIGURADO TRIPWIRE EN DEBIAN................................ ===

 Este programa nos ayuda a determinar cuando la seguridad de nuestro equipo ha sido comprometida. Nos informará cuando todas las otras medidas de seguridad han fallado. En la Web es posible encontrar información acerca de su instalación en Red Hat y otras distribuciones, [|aqui una breve descripción de la Instalación y configuración del Tripwire en debian.]

**Tripwire** **¿Qué hace?** Cuando alguien logra ingresar en nuestro sistema no deseará perder la oportunidad de seguir utilizandolo, por lo que probablemente instalará algo llamado rootkit. Estos rootkit, vistos de una manera muy sencilla, son un conjunto de archivos destinados a reemplazar programas del sistema, creando versiones modificadas para que el administrador no descubra la presencia de procesos extraños, o logs de acceso de usuarios desconocidos. Por ejemplo, instalan un programa en lugar del pstree original, de modo que cuando se ejecute pstree, no se mostrarán todos los procesos que se están ejecutando. Como puede verse si el administrador no puede confiar en su propio sistema, será muy difícil determinar si este ha sido comprometido. El primer paso es encontrar y descargar el programa de Internet (si estas usando sarge puedes hacer un sencillo apt-get), seguidamente dpkg -i tripwire.2.3.1.2-0, para instalarlo. Aquí comienza lo interesante, toda la documentación que puede encontrar me dice que utilice el script install.sh, el cual no encontré por ninguna parte en mi debian. Por lo que el primer paso que realice fue generar una llave, el comando utilizado fue: (Importante: Cuidado con las mayúsculas y minúsculas en los parámetros) Este pide una contraseña (Utilizar una contraseña de verdad, osea que tenga minúsculas, mayúsculas, números y letras) Seguidamente es necesario crear un archivo de configuración. Este se creará basado en el archivo de texto /etc/tripwire/twcfg.txt el cual debemos editar para ajustar a nuestras necesidades. (Yo no tuve que cambiar nada aquí). El comando utilizado para crear el archivo de configuración es: //twadmin -m F -S /etc/tripwire/site.key -c /etc/tripwire/tw.cfg /etc/tripwire/twcfg.txt// Ahora es necesario crear un archivo llamado nombre_de_mi_host-local.key, este es idéntico al archivo site.key que creamos antes, por lo que cp site.key nombre_de_mi_host-local.key será suficiente. El siguiente paso es crear un archivo de políticas, este se creará basado en el archivo /etc/tripwire/twpol.txt (tampoco tuve que modificar nada en este archivo de texto). El comando para generar el archivo de políticas es: //twadmin -m P /etc/tripwire/twpol.txt// Para crear la base de datos (con la información que Tripwire debe monitorear) se utiliza el comando //tripwire -m i 2> /tmp/mensajes// Esta forma de ejecución la encontré aquí [1], es un completo tutorial, solamente que es para Red Hat. En él se explica que el comando anterior creará el archivo /tmp/mensajes, donde aparecerá una lista de los archivos que no se encontraron al intentar crear la base de datos. La duración de este paso dependerá de la cantidad de archivos que desee monitorear, si utilizó las archivos tal y como se instalarón deberá tener paciencia ya que la ejecución tardará. Al finalizar este paso usted verá un nuevo archivo llamado /var/lib/tripwire/nombre_de_mi_host.twd Cuando deseemos verificar la integridad de nuestro sistema basta con ejecutar //tripwire -m c// y al final veremos un lindo reporte que nos indica si alguno de nuestros archivos ha cambiado desde la creación de la base de datos.
 * Instalación y configuración**
 * //twadmin -m G -L /etc/tripwire/site.key//**
 * Crear la base de datos**
 * Verificar la integridad**


 * El paquete Tripwire contiene los programas usados por Tripwire para verificar la integridad de los ficheros en un sistema. **



 * **Descarga (HTTP):@http://telia.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.3.1-2.tar.gz**
 * **Descarga (FTP):@ftp://ftp.fu-berlin.de/unix/security/tripwire/tripwire-2.3.1-2.tar.gz**
 * **Tamaño del paquete: 1.4 MB**
 * **Estimación del espacio necesario en disco: 63 MB**
 * **Tiempo estimado de construcción: 2.35 SBU**



 * **Parche requerido para corregir múltiples errores de compilación (mira el parche para mas información):** **@http://www.linuxfromscratch.org/patches/blfs/5.0/tripwire-2.3.1-2-gcc3-build-fixes.patch**

code format="screen" cd src && make release && cd .. && cp install/install.{sh,cfg} .** code || **Instala Tripwire ejecutando los siguientes comandos:** code format="screen" cp /etc/tripwire/tw.cfg /usr/sbin && cp policy/.txt /usr/share/doc/tripwire** code ||
 * * Compila Tripwire ejecutando los siguientes comandos: **
 * patch -Np1 -i ../tripwire-2.3.1-2-gcc3-build-fixes.patch &&
 * ./install.sh &&

make release **: Este comando crea los binarios de Tripwire e.** cp install.{sh,cfg}. **: Estos ficheros se copian al directorio principal de Tripwire para poder usar el guión para instalar el paquete.** cp policy/*.txt /usr/share/doc/tripwire **: Este comando instala la documentación.**

Los ficheros de políticas son personales y deberían ser adaptados a cada distribución y/o instalación en particular. Encontrarás algunos de estos ficheros personalizados aquí abajo: ** code format="screen" @http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Comprueba la integridad de todos los ficheros @http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Fichero de políticas adaptado para un sistema base LFS 3.0 @http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Fichero de políticas adaptado para un sistema SuSE 7.2 code || **Descarga el fichero de políticas que quieras probar, cópialo a, y úsalo en lugar de. Sin embargo, recomendamos que crees tu propio fichero de políticas personalizado basándote en las ideas que aportan los ficheros anteriores y leyendo. es un buen fichero de políticas para principiantes, ya que advertirá sobre cualquier cambio en el sistema de ficheros y puede incluso servir como una forma molesta de rastrear los cambios producidos al desinstalar software. Después de copiar tu fichero de políticas a puedes comenzar con la configuración:** code format="screen" tripwire -m i** code || **Durante la configuración Tripwire creará dos claves: una para el sitio y una local, que serán almacenadas en .**
 * Tripwire usa un fichero de políticas para determinar a qué ficheros se les chequeará su integridad. El fichero de políticas por defecto ( en ) es para una instalación basada en Redhat 7.0 y está muy desactualizado.
 * twadmin -m P /etc/tripwire/twpol.txt &&

code format="screen" code || **Mira la salida para verificar la integridad de tus ficheros. Puedes generar un informe automático a través de una utilidad cron para planificar las ejecuciones. Ten en cuenta que después de ejecutar un chequeo de integridad debes verificar el informe o correo electrónico y seguidamente modificar la base de datos de Tripwire de los ficheros de tu sistema para que Tripwire no te avise contínuamente que los ficheros que modificaste intencionadamente son una violación de la seguridad. Para lograrlo, primero ejecuta ls /var/lib/tripwire/report/ y anota el nombre del fichero más nuevo que comience con y termina con. Este fichero encriptado se creó durante el último informe y es necesario para actualizar la base de datos de Tripwire para tu sistema. Luego ejecuta lo siguiente, reemplazando adecuadamente los '?':** code format="screen" code || **Entrarás en vim con una copia del informe frente a tí. Si los cambios son correctos, sólo teclea** :x **y, después de ingresar tu clave local, la base de datos será actualizada. Si hay ficheros sobre los que quieres que se te advierta, solo elimina la 'x' delante del nombre del fichero en el informe y ejecuta** :x**.**
 * Para usar Tripwire tras esto y genera un informe, utiliza el siguiente comando: **
 * tripwire -m c > /etc/tripwire/report.txt**
 * tripwire -m u -r /var/lib/tripwire/report/linux-???????-??????.twr**

code format="screen" tripwire -m i**** code
 * Si no estás conforme con tu fichero de políticas y quieres modificarlo o usar uno nuevo, modifícalo y ejecuta los siguientes comandos: **
 * twadmin -m P /etc/tripwire/twpol.txt &&