# [MINI-GUIA] Tripwire - seguridad del sistema

## shutdown

Tripwire es un programa para analizar los archivos del sistema. Cada modificacion, creacion, borrado de ficheros o directorios queda registrado cada vez que se ejecuta el programa.

Para instalarlo solo hay que hacer un emerge:

```
emerge tripwire
```

Para configurarlo hay que crear la base de datos para la configuracion que tenemos por defecto:

```

/etc/tripwire/twinstall.sh

tripwire --init

```

(Preguntara una "passphrase" por seguridad en actualizaciones posteriores)

--------------------

Tripwire se ejecuta diariamente en el /etc/cron.daily/tripwire.cron y se almacenan los cambios que han habido en el directorio /var/lib/tripwire/report/*.twr

Para ver los cambios en el sistema de archivos hay que ejecutar:

```
tripwire --check
```

Si deseais que se os envie por correo un reporte de los cambios del sistema de archivos, tendreis que cambiar en cron para que quede como sigue (añadiendo al final el comando 'mail'):

```

#!/bin/sh

HOST_NAME=`uname -n`

if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then

        echo "****    Error: Tripwire database for ${HOST_NAME} not found.    **

**"

        echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". **

**"

else

        test -f /etc/tripwire/tw.cfg &&  /usr/sbin/tripwire --check | mail -s "T

ripwire log" nombre@dominio.ext

fi

```

El archivo de configuracion esta en: /etc/tripwire/twpol.txt

Si quereis verificar si todos los archivos listados en el archivo de configuracion son correctos, podeis utilizar un script para que ponga un comentario a los que no tengais en el sistema, lo podeis encontrar al final del tutorial en: http://es.tldp.org/Tutoriales/GUIA_TRIPWIRE/guia_tripwire.html

Si han habido cambios en el sistema de archivos y no queremos que nos lo siga verificando, tendremos que actualizar la base de datos:

```
tripwire --update --twrfile /var/lib/tripwire/report/<name>.twr
```

donde el archivo .twr tiene que ser el ultimo modificado.

Si hemos cambiado el archivo de configuracion (/etc/tripwire/twpol.txt) y queremos que nos verifique los nuevos archivos, tendremos que volver a configurar el archivo de politicas:

```

twadmin --create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

rm -rf /var/lib/tripwire/<nombredelsite>.twd

tripwire --init

```

Pues aqui lo dejo, nunca esta de mas un podo de seguridad en el sistema   :Wink: 

----------

## German3D

interesante sin duda alguna  :Wink:  gracias

----------

