PDF de programación - Control de la integridad de ficheros y directorios

Administración y Gestión de Redes

Control de la integridad de ficheros y directorios

Control de la integridad de ficheros y directorios.

Autor: Enrique V. Bonet Esteban

Introducción.

El control de integridad de ficheros y directorios se realiza mediante un
programa que permite obtener el estado inicial de los ficheros y directorios del sistema y
comparar, con posterioridad, el estado con este estado actual.

El programa más conocido de todos los existentes es tripwire, propiedad en la
actualidad de Tripwire Inc. (http://www.tripwire.com). Sin embargo, este programa en
sus orígenes en el año 1992 fue desarrollado en la universidad de Purdue y era software
libre, manteniéndose en esta situación durante un buen número de años.

A partir de su comercialización por una compañía surgieron dos líneas de

desarrollo dentro del software libre:

• Aide: Desarrollado inicialmente como una iniciativa de software libre con el
objetivo de cubrir el hueco dejado por tripwire al pasar a ser una iniciativa
comercial. Puede descargarse la última versión del mismo en la URL
http://sourceforge.net/projects/aide

• Tripwire: Iniciativa de software surgida con posterioridad a aide y que, partiendo
de la última versión de software libre de tripwire, continuó su desarrollo con el
objetivo de seguir proporcionando la herramienta inicial tal y como se conocía.
Puede descargarse desde la URL http://sourceforge.net/projects/tripwire.

De las dos elecciones posibles nos centraremos en el estudio de tripwire.

Tripwire.

Tripwire es un programa para asegurar la integridad de los archivos y directorios
de los sistemas críticos de un ordenador. Tripwire identifica los cambios realizados en
los mismos, mediante un proceso automático que se ejecuta en intervalos regulares, e
informa de los cambios detectados al administrador mediante un correo electrónico1.

El uso de tripwire sirve no solo para detectar la integridad de los archivos y
directorios, sino también minimiza el impacto de una intrusión en el sistema, pues al
informar de los archivos modificados permite conocer los archivos que deben ser
restaurados.

Tripwire funciona generando, cuando el sistema acaba de ser instalado, una base
de datos inicial, conocida como base de datos de fundamentos, que contiene
información sobre los archivos y directorios, y genera periódicamente una nueva base

1 La persona a informar por tripwire de los cambios puede ser configurada, por lo que no tiene porque ser
necesariamente el usuario root del sistema.

Doble Titulación Informática + Telemática

1

Administración y Gestión de Redes

Control de la integridad de ficheros y directorios

de datos con el estado actual, comparando ambas bases de datos e informando de
cualquier modificación, adición o eliminación.

Configuración inicial de tripwire.

Una vez instalado el software de tripwire, y aunque no es necesario pues ambos
archivos de configuración pueden funcionar con las valores por defecto, es
recomendable modificar los dos archivos de configuración de tripwire. Estos dos
archivos /etc/tripwire/twcfg.txt y /etc/tripwire/twpol.txt indican la localización de la base
de datos de tripwire y de los archivos y directorios a comprobar, respectivamente.

Configuración del archivo twcfg.txt.

El archivo twcfg.txt contiene dos tipos de variables, las de configuración
obligatoria en caso de que se modifique cualquier valor del archivo twcfg.txt que por
defecto se instala, pues en caso de no especificar los valores de alguna de estas
variables, aunque el valor deseado sea el valor por defecto, tripwire mostrará un
mensaje de error y terminará su ejecución, y las de configuración optativa, pues no es
necesario especificar su valor, pudiendo tomar sus valores por defecto.

Las variables de configuración obligatoria son:

• ROOT: Contiene el directorio donde se encuentran los ejecutables de tripwire.

Por defecto su valor es /usr/sbin.

• POLFILE: Contiene la ubicación del archivo de políticas. Su valor por defecto

es /etc/tripwire/tw.pol.

• DBFILE: Indica la localización del archivo de la base de datos. Su valor por

defecto es /var/lib/tripwire/$(HOSTNAME).twd.

• REPORTFILE: Contiene la ubicación de los archivos de informes. Su valor por

defecto es /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.

•

SITEKEYFILE: Especifica la localización del archivo de la llave del sitio. Su
valor por defecto es /etc/tripwire/site.key.

• LOCALKEYFILE: Especifica la ubicación del archivo de la llave local. Su valor

por defecto es /etc/tripwire/$(HOSTNAME)-local.key.

El resto de variables, cuya configuración es opcional son:

• EDITOR: Indica el editor de texto que ejecutará tripwire. Su valor por defecto

/bin/vi.

• LATEPROMPTING: Puede tomar los valores true ó false tomando por defecto el
valor false. Indica a tripwire que espere tanto como sea posible antes de
preguntar una contraseña al usuario, minimizando el tiempo que la contraseña
permanece en la memoria del ordenador.

Doble Titulación Informática + Telemática

2

Administración y Gestión de Redes

Control de la integridad de ficheros y directorios

• LOOSEDIRECTORYCHECKING: Puede tomar los valores true ó false, siendo
el valor por defecto false. Configura tripwire para que informe sobre los cambios
que se han realizado en un archivo de un directorio y no sobre los cambios
propios del directorio, reduciendo la redundancia en los informes generados.

•

SYSLOGREPORTING: Toma los valores true ó false, e indica a tripwire que
informe al demonio de syslog de los cambios. El valor por defecto es false.

• MAILNOVIOLATIONS: Puede tomar los valores true ó false e indica a tripwire
que mande un correo electrónico de forma periódica aún en el caso de que no se
haya producido ninguna intrusión en el sistema. El valor por defecto es true.

• EMAILREPORTLEVEL: Indica el nivel de detalle para los informes enviados
por correo electrónico. Los valores válidos son de 0 a 4, siendo el valor por
defecto de 3.

• REPORTLEVEL: Indica el nivel de detalle para los informes generado por el
comando twprint2. Sus valores válidos son de 0 a 4 y su valor predeterminado es
3.

• MAILMETHOD: Especifica el protocolo de correo que usará tripwire. Los
valores válidos son SMTP ó SENDMAIL, siendo este último el valor por defecto.

• MAILPROGRAM: Especifica que programa de correo usará tripwire. El valor

por defecto es /usr/sbin/sendmail –oi –t.

Un ejemplo de archivo de configuración es el siguiente:

ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
MAILMETHOD =SENDMAIL
SYSLOGREPORTING =false
MAILPROGRAM =/usr/sbin/sendmail -oi -t

Configuración del archivo twpol.txt.

El archivo twpol.txt contiene la política sobre que archivos y directorios son
supervisados por tripwire, indicando que datos de los mismos son almacenados en la
base de datos, así como la severidad del chequeo que realizará tripwire sobre cada
archivo o directorio. Además, permite activar el envío de un correo electrónico si la
integridad del sistema ha sido alterada.

2 El comando twprint lo veremos con posterioridad.

Doble Titulación Informática + Telemática

3

Administración y Gestión de Redes

Control de la integridad de ficheros y directorios

El fichero twpol.txt esta formado por cuatro tipos de elementos: Comentarios,

reglas, directivas y variables.

Los comentarios son todo el texto que se encuentra en una línea detrás del

carácter # y hasta el final de la misma.

Las reglas determinan como y con que severidad tripwrite chequeará los ficheros

y directorios. Existen dos tipos de reglas:

• Reglas normales, que definen que propiedades de un fichero o directorio serán

analizadas.

• Reglas de parada, que son utilizadas para especificar ficheros o directorios

donde tripwire no debe analizar.

Las directivas son un conjunto pequeño de órdenes que permiten condicionar la
interpretación de la política de tripwire, así como ciertos diagnósticos y operaciones de
depuración3.

Las variables permiten al usuario definir cadenas de texto para su sustitución en

el fichero.

Procederemos a continuación a examinar más detenidamente como especificar

las reglas, directivas y variables.

Especificación de las reglas.

Como hemos indicado, existen dos tipos de reglas, reglas normales y reglas de

parada. La sintaxis de las reglas normales es:

nombre_del_objeto -> mascara_de_propiedades;

Donde nombre_del_objeto es el camino completo del fichero o directorio, no
permitiéndose el uso de variables de ambiente, pero si de variables de tripwire, como
todo o parte del camino, y mascara_de_propiedades especifica que propiedades del
objeto serán examinadas o ignoradas. Si el objeto especificado es un directorio, el
directorio y todos sus descendientes, tanto ficheros como directorios, son analizados de
acuerdo a la mascara indicada. Si por el contrario el objeto es un fichero, solo ese
fichero es analizado de acuerdo a la máscara indicada.

A cada objeto solo puede asociarse una única máscara, de forma que si un objeto
tiene asociada más de una máscara se produce un error y tripwire no realiza el análisis
de ningún fichero o directorio.

La máscara de propiedades está formada por una serie de caracteres que pueden
ir precedidos de un signo + ó -. Cada carácter indica una propiedad p