Item suivant: FONCTIONNEMENT
Sommaire: Tripware
Item précédent: Tripware
Ce produit travaille à l'aide d'un fichier de configuration qui va contenir des binômes de la forme :
NOM DE RESSOURCE À SURVEILLER CRITÈRES DE SURVEILLANCE
Chaque ressource peut avoir son propre masque de critères de surveillance.
On peut contrôler l'intégrité de :
- une arborescence complète de fichiers;
- une partie seulement de cette arborescence;
- un simple élément de cette arborescence.
Les critères de surveillance sont :
- tous les champs de l'INODE -- uid gid inode number ...... ;
- le contenu du fichier lui-même
par génération de sceau à l'aide d'algorithmes de chiffrement tels que : MD2-MD4-MD5-Snefru-sha .......
On pourra calculer plusieurs signatures pour une même ressource si on estime qu'elle est très sensible.
Mais attention il faut bien voir que :
- plus une signature est courte moins elle est fiable;
- plus une signature est élaborée, plus elle est sure, MAIS, en contrepartie de cette fiabilité accrue elle consomme plus de CPU pour être calculée.
Donc il faut bien faire attention aux éléments suivants :
- le nombre de ressources sur lesquelles on calcule une ou des signatures;
- la puissance de votre machine;
- la taille des fichiers sur lesquels on va calculer cette signature.
Toutes ces informations calculées ou recherchées par Tripwire seront mises dans un fichier qu'il appelle sa ''Database''. C'est en fait un fichier texte standard Unix avec des informations codées et d'autres en clair. Dans ce fichier il y aura 1 enregistrement par ressource surveillée. C'est ce fichier qui servira de référence pour trouver les différences entre 2 passages de Tripwire.
Jres95