Hola a todos, Me respondo a mi mismo ;-)
On Fri, Dec 08, 2000 at 10:53:10PM +0100, Manel Marin wrote: > Hola a todos, > > Estoy en lo de montar tripwire en un cliente Linux y el problema es que la > base de datos comprimida no cabe en un diskete (1.8MBytes) > > Claro, venga a instalar e instalar en un disco grande y luego pasa lo que pasa > ;-) > > Se me ha ocurrido que las firmas digitales (con siggen) de la base de datos y > de tripwire valen para saber que no han sido modificados y la base de datos de > tripwire se puede quedar en el disco duro y sin comprimir > > Para hacer esto he hecho lo siguiente: > - Recompilado siggen estáticamente para que no dependa de las librerias y lo > he puesto en un diskete en formato ext2 y solo lectura > - Imprimo las firmas de: > el siggen del diskete > el kernel del disco duro > el tripwire del disco duro > todas las bases de datos de tripwire en el disco duro > - Uso tres firmas: MD5, snefru y SHA (la que usa gnupg) para cada archivo > > Testeo las firmas con la hoja impresa una vez al dia y antes de actualizar > la base de datos cuando instalo algo y las vuelvo a imprimir despues para > siempre tener firmas actualizadas impresas (con un script para evitar olvidos) > > > A mi me parece que es un sistema seguro y práctico > ¿Le veis algún inconveniente? > La idea es buena, pero cuando llegue un dia que la firma no coincida y tripwire no reporte cambios ¿como se te va a quedar el cuerpo? ¡¡¡No tienes manera de saber que te han modificado!!! Además si una sola vez haces un tripwire -interactive sin usar el script, y por tanto sin imprimir las firmas ya estas vendido... > Teneis todos los detalles y los scripts que he preparado para esto en mi > chuleta en desarrollo en http://perso.wanadoo.es/manel3/chuletas/S-tripwire > > > > Otra alternativa seria tener otra configuración de tripwire mas recortada que > si que cabria en un diskete, pero tener que actualizar tripwire por duplicado > es inhumano... > > Definitivamente es mejor no inventar nada y usar un floppy de solo lectura, el problema es que en un cliente siempre tienes _MUCHOS_ mas paquetes instalados :-( ¿Me hechais una ayudita para "podar" los archivos a verificar? De momento descarto lo mismo que en el tw.config original: /mnt /home /root /var /tmp /usr/tmp /usr/doc /usr/dict /usr/info /usr/man /usr/src /usr/share/doc /usr/share/dict /usr/share/info /usr/share/man /usr/X11R6/man ¿Que mas puedo descartar con seguridad? ¿Alguien se lo ha currado ya? Saludos, -- ------------------------------------------------- Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.2 potato) kernel 2.2.17 GnuPG keyID: F9BC34B5 en certserver.pgp.com fingerprint: 2F60 43D5 A297 5458 9067 5A50 0029 9C8D F9BC 34B5 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 ------------------------------------------------- Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)