Tripwire
Salah satu contoh program yang sering digunakan untuk memantau integritas sistem Linux adalah program Tripwire. Program Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas/file atau direktori.
Cara Kerja Tripwire.
Pada
waktu pertama kali digunakan, tripwire harus digunakan untuk membuat
database mengenai berkas-berkas atau direktori yang ingin kita amati
beserta “signature” dari berkas tersebut. Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas tersebut, maka keluaran dari hash function akan
berbeda dengan yang ada di database sehingga ketahuan adanya
perubahan. Selain Tripwire, tool yang yang digunakan utuk melakukan
pengecekan integritas sistem antara lain:
TAMU (Texas A&M University), ATP (The Anti-Tampering Program), dan
sXid (men-tracks file-file suid dan sgid, bisa mendeteksi jika ada kit
root yang terinstal).
Tripwire
yang merupakan salah satu pilhan utilitas yang dapat digunakan oleh
user dan administrator untuk memeriksa perubahan yang terjadi pada file
atau direktori. Hal itu untuk menghindari adanya backdoor (pintu
belakang untuk mendapatkan akses illegal lagi), penyusupan karena
adanya bug pada perangkat lunak, adanya malicious code dan perubahan
terhadap sistem oleh oramg lain yang sebenarnya tidak mempunyai hak
untuk itu. Dalam pemeriksaan keutuhan dan keaslian file ini, tripwire
perlu mengetahui file mana saja yang akan diperiksa baru setelah itu
membandingkan file yang akan diperiksa tersebut dengan informasi
(database) yang telah disimpan sebelumnya. Dan jika terjadi perubahan
atau penambahan file baru Tripwire akan melaporkannya sehingga
administrator dapat segera memeriksa apakah pengubahan atau penambahan
file baru tersebut legal atau tidak.
Daftar
file atau direktori yang akan diperiksa Tripwire terdapat dalam file
konfigurasi Tripwire yang default-nya bernama tw.config. Sedangkan
keadaan asli file tersebut terdapat di dalam file database Tripwire yang
default-nya bernama tw.db_@. Karakter @ diganti dengan hostname
komputer yang diinstal Tripwire.
Yang
menjadi file inti dalam program Tripwire ini sebenarnya adalah kedua
file tersebut yaitu file konfigurasi tw.config dan file database
tw.db_@. Karena itu sangat disarankan pada saat menginstalasi program
Tripwire agar kedua file ini diletakkan pada tempat yang hanya di-mount
read-only atau di media eksternal (seperti disket atau NFS) sehingga
tidak ada intruder yang dapat mengubahnya. Sebab jika hal ini tidak
dilakukan akan sangat mungkin menyebabkan kita tidak dapat mengetahui
seorang intruder yang telah berhasil masuk ke dalam sistem dan telah
menyiapkan backdoor. Hal ini dikarenakan pada saat intruder itu telah
membuat file baru atau mengubah suatu file untuk digunakan sebagai
backdoor, ia sekaligus dapat mengubah file database Tripwire sehingga
jejaknya tidak akan terdeteksi oleh Tripwire. Jika hal seperti ini
terjadi, berarti program Tripwire yang telah diinstalasi sama sekali
tidak berguna. Contoh file yang membahayakan keamanan sistem jika
diubah : password user, group user, pengubahan UID/GID sebuah file atau
penambahan file yang memiliki setuid root, inetd, service, dll.
Instalasi dan penggunaan Tripwire, silakan dilihat di bagian Jobsheet.
Tidak ada komentar:
Posting Komentar