*+PROCESO+DE+INSTALACION

Mi instalación la hice en Ubuntu 8.04, a través del Gestor de Paquetes Synaptic, primero lo buscan y luego habilitan la casilla para instalación, en el trascurso de la instalación les ira haciendo algunas preguntas:
 * Instalación de Tripwire:**

**Definir las claves de Tripwire**: Tripwire utiliza dos claves (que pueden ser palabras u oraciones) para almacenar su información. Una de ellas, la “site key” o “clave del sitio”, se emplea para encriptar los archivos de configuración y de las políticas. La otra – la “local key” o “clave local”, se usa para encriptar la información referida al estado de los archivos del sistema que se monitorean. Necesitas estas dos claves para las tareas de administración de Tripwire.Ingresar y reingresar tu clave de sitio:

Ingresar y reingresar tu clave local:

Finalmente:

Después de haber instalado tienes que completar los siguientes pasos para inicializar el software. **Personalizar Tripwire**

**1. Modificar el archivo de configuración** **/etc/tripwire/twcfg.txt**
Tuve que modificar mi archivo configuración **twcfg.txt** porque con la configuración por defecto no podía enviar e-mails. **Por lo general para trabajar con Tripwire debe ser como root, hazlo con mucho cuidado**. **IMPORTANTE**: Siempre que modifiques cualquier de los archivos de configuración y/o políticas, debes compilarlo con las órdenes que entregaré más adelante. Abajo aparece una lista con las variables configurables de usuario requeridas en el archivo /etc/tripwire/twcfg.txt: **IMPORTANTE**: Si modificas el archivo de configuración y no define las variables anteriores, el archivo de configuración no será válido. Si esto ocurre, cuando ejecute el comando tripwire indicará un error y saldrá de la pantalla. El resto de las variables configurables en el archivo de ejemplo /etc/tripwire/twcfg.txt son opcionales. Estas incluyen lo siguiente: Me causó varios problemas mi configuración twcfg.txt porque mi proveedor no deja enviar un e-mail sino es a través de sus servidores, por ello les voy a dejar dos ejemplos que se utilizan para enviar un e-mail: **Ejemplo con SENDMAIL:** ROOT =/usr/sbin POLFILE =/etc/tripwire/tw.pol DBFILE =/var/lib/tripwire/$(HOSTNAME).twd REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr SITEKEYFILE =/etc/tripwire/site.key LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key EDITOR =/usr/bin/vi LATEPROMPTING =false LOOSEDIRECTORYCHECKING =false MAILNOVIOLATIONS =true EMAILREPORTLEVEL =3 REPORTLEVEL =3 SYSLOGREPORTING =true MAILMETHOD =SENDMAIL SYSLOGREPORTING =false MAILPROGRAM =/usr/lib/sendmail -oi -t **Ejemplo con SMTP:** ROOT =/usr/sbin POLFILE =/etc/tripwire/tw.pol DBFILE =/var/lib/tripwire/$(HOSTNAME).twd REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr SITEKEYFILE =/etc/tripwire/site.key LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key EDITOR =/usr/bin/vi LATEPROMPTING =false LOOSEDIRECTORYCHECKING =false MAILNOVIOLATIONS =true EMAILREPORTLEVEL =3 REPORTLEVEL =3 SYSLOGREPORTING =true MAILMETHOD =SMTP SMTPHOST =mail.telefonica.pe SMTPPORT =25 **IMPORTANTE**: Nuevamente, Tripwire no reconocerá los cambios realizados hasta que el archivo de configuración esté correctamente firmado y convertido o compilado a //**/etc/tripwire/tw.cfg**// con el comando. Usa el siguiente comando para regenerar el archivo de configuración desde el archivo de texto (/etc/tripwire/twcfg.txt), **siendo root**:
 * POLFILE — Especifica la ubicación del archivo de políticas; /etc/tripwire/tw.pol es el valor por defecto.
 * DBFILE — Especifica la ubicación del archivo de la base de datos; /var/lib/tripwire /$(HOSTNAME).twd es el valor por defecto, pero puedes guardarla en otro lado.
 * REPORTFILE — Especifica la ubicación de los archivos de informes. Por defecto este valor está colocado a /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.
 * SITEKEYFILE — Especifica la ubicación del archivo de la llave del sitio; /etc/tripwire/site.key es el valor por defecto.
 * LOCALKEYFILE — Especifica la ubicación del archivo de la llave local; /etc/tripwire/$(HOSTNAME)-local.key es el valor por defecto.
 * EDITOR — Especifica el editor de texto llamado por Tripwire. El valor predetermindo es /bin/vi.
 * LATEPROMPTING — Si se coloca a verdadero, esta variable configura Tripwire para que espere tanto como sea posible antes de preguntar al usuario por una contraseña, minimizando así el tiempo que la contraseña permanece en memoria. El valor por defecto es falso.
 * LOOSEDIRECTORYCHECKING — Si es verdadero, esta variable configura Tripwire para que informe sobre los cambios que se han realizado en un archivo de un directorio y no sobre los cambios propios del directorio. Esto limita la redundancia en los informes de Tripwire. El valor predeterminado es falso.
 * SYSLOGREPORTING — Si es verdadero, esta variable configura Tripwire para informe al demonio syslog con la facilidad del “usuario”. El nivel de informe está colocado a aviso. Vea la página del manula de syslogd para más información. El valor predeterminado es falso.
 * MAILNOVIOLATIONS — Si es verdadero, esta variable configura Tripwire para que mande un informe en forma de e-mail a intervalos regulares sin tener en cuenta si se han producido violaciones. El valor predeterminado es verdadero.
 * EMAILREPORTLEVEL — Especifica el nivel de detalles para los informes enviados a través de email. Los valores válidos para esta variable son 0 a 4. El valor por defecto es 3.
 * REPORTLEVEL — Especifica el nivel de detalles para los informes generados por el comando twprint. Este valor se puede cambiar en la línea de comandos, pero el valor predeterminado es 3.
 * MAILMETHOD — Especifica qué protocolo de correo debe usar Tripwire. Los valores válidos son SMTP and SENDMAIL. El valor predeterminado es SENDMAIL.
 * MAILPROGRAM — Especifica cúal programa de correo usará Tripwire. El valor por defecto es /usr/sbin/sendmail -oi -t.

**Te pedirá la contraseña de sitio, lo que saldrá es: //Please enter your site passphrase: Wrote configuration file: /etc/tripwire/tw.cfg//**
 * ///usr/sbin/twadmin –create-cfgfile -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt//

2. Modificar el archivo de políticas /etc/tripwire/twpol.txt
Tú puedes modificarlo directamente con un editor de texto (aunque le aconsejo que guarde una copia sin modificar del mismo). Como podrán darse cuenta el archivo contiene muchas opciones que no comprendamos en un principio, por ello les recomiendo documentarse al respecto porque cada quien tiene sus políticas y saber cuáles archivos son monitoreados. Un cambio común a este archivo de política es convertir en comentario cualquier archivo que no existe en tu sistema para que no genere un mensaje de error de “//file not found//” en los informes Tripwire. Por ejemplo, si su sistema no tiene un archivo ///etc/smb.conf//, le puede indicar a Tripwire que no intente buscarlo a través de la conversión de su línea en comentario en twpol.txt con el caracter numeral # como en el ejemplo:**
 * La configuración de los archivos que van a ser monitoreados por Tripwire se mantiene en un gran archivo conocido como “Archivo de Políticas”. Su manipulación es algo tediosa dada su extensión. Tripwire viene con un archivo que sirve de “plantilla” para ser modificado. Este archivo es: ** /etc/tripwire/twpol.txt**.

Si borraste el archivo twpol.txt, en el directorio /etc/tripwire/ (opción recomendada por algunos con el inconveniente de tener que volver a generar el archivo, lo mejor es esconderlo en un directorio y con permisos de sólo lectura por el root), puede regenerarlo digitando como root **el comando siguiente:** Cuando el archivo de políticas contiene todo lo que pretendemos monitorear, es menester “instalarlo”. En realidad Tripwire usa una versión compilada y encriptada de este archivo, que se almacena en **/etc/tripwire/tw.pol**. Para generarlo (y regenerarlo cuantas veces se necesite), usar el siguiente comando como root: **Te pedirá la contraseña de sitio, luego, el archivo twpol.txt estará encriptado y firmado como** tw.pol **. **
 * 1) /etc/smb.conf -> $(SEC_CONFIG) ;
 * **//twadmin –print-polfile > /etc/tripwire/twpol.txt//**
 * //twadmin -m P /etc/tripwire/twpol.txt//

**3.- Construir la base de datos Tripwire**

 * Una vez configurado e instalados los archivo de configuración y políticas, Tripwire necesita recolectar la información actual de los archivos que debe monitorear. Dicha información se almacena en una base de datos especial, entonces como root digita el siguiente comando (como root): **

La base de datos se almacenará según la configuración entregada en twcfg.txt en la sentencia (como ejemlo): **Verificación del Sistema de Archivos** Ahora que Tripwire está correctamente configurado con su base de datos, es el momento de verificar la integridad de los archivos supervisados. Esto se consigue con el comando: Este comando se usará cada vez que deseamos saber que nuestro sistema no ha sido alterado. También el resultado lo podemos dirigir a algun directorio (por ejemplo al directorio /home/usuario/): Si por algún motivo algunos de los archivos monitoreados son modificados (por ejemplo, por una actualización en el software) entonces debemos reconstruir la base de datos como se vió en el paso anterior, a fin de que no aparezcan discrepancias con el estado actual del Sistema de Archivos en las próximas verificaciones. Si deseamos dejar de monitorear ciertos archivos o iniciar el monitoreo de otros, entonces debemos configurar el archivo de políticas (twpol.txt) como se vió anteriormente, y reinstalarlo. Después, se volverá a generar la base de datos, este proceso puede ser muy tedioso cuando hay muchos archivos por monitorear. Para enviarlo por e-mail, utiliza el siguiente comando: Por ejemplo: /usr/sbin/tripwire –test –email var77@gmail.com Por razones de seguridad, debes borrar o guardar en un lugar seguro las copias del archivo de texto **twcfg.txt** y **twpol.txt**, después de ejecutar el script de instalación o regenerar un archivo de configuración firmado. También puede cambiar los permisos para que no se pueda leer.
 * ///usr/sbin/tripwire –init//
 * DBFILE =/etc/tripwire/$(HOSTNAME).twd**
 * $ //sudo tripwire -m c//**
 * $ //sudo tripwire -m c > /home/usuario/verificacion.txt//**
 * $ ///usr/sbin/tripwire –test –email your@email.address//**