搜索

热门标签:

移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

Linux下文件完全性监控东西Tripwire详解

时间:2013-12-09 10:21来源:TuZhiJiaMi企业信息安全专家 点击:
简介 Tripwire 是今朝最为闻名的Unix下文件系统完全性查抄的软件东西,这一软件采取的手艺核心就是对每个要监控的文件产生一个数字签名,保留下来。当文件此刻的数字签名与保留的数字签名
Tags系统安全(735)Linux(46)Tripwire(1)  

  简介

  Tripwire 是今朝最为闻名的Unix下文件系统完全性查抄的软件东西,这一软件采取的手艺核心就是对每个要监控的文件产生一个数字签名,保留下来。当文件此刻的数字签名与保留的数字签名不一致时,那么此刻这个文件必然被改动过了。

  软件特点

  监督和查抄系统产生的改变可以或许及时地帮忙你发现报复打击者的进侵,它们可以或许很好地供给系统完全性的查抄。

  用Tripwire成立数据完全性监测系统。当然它不克不及抵抗黑客报复打击和黑客对一些首要文件的点窜,可是可以监测文件是不是被修悔改和哪些文件被修悔改,从而在被报复打击后有的放矢的策划出解决编制。

  Tripwire道理

  Tripwire的道理是Tripwire被安装、建设后,将当前的系统数据状况成立成数据库,跟着文件的添加、删除和点窜等等改变,经由过程系统数据近况与不竭更新的数据库进行比较,来鉴定哪些文件被添加、删除和修悔改。正因为初始的数据库是在Tripwire本体被安装、建设后成立的启事,我们务必应当在办事器开放前,或说把持系统刚被安装后用Tripwire构建数据完全性监测系统。

  Tripwire的根基把持

  一个建设文件(tw.config)描述监测哪些目次和文件,还有一个基线签名数据库产生一个有关改动的具体陈述。

Linux下文件完全性监控东西Tripwire详解

  当第一次运行Tripwire时,法度成立一个签名的基线数据库。下一次运行时,它利用tw. config文件产生一个新的签名数据库。然后,它比较两个数据库,实施用户定义的任何选项樊篱(解除常常更改的文件),最后经由过程电子邮件或显示器来为用户在终端上输出一个可读的陈述。

  Tripwire有四种把持模式:数据库生成、完全性查抄、数据库更新或交互式更新。

  数据库生成模式产生一个基线数据库,为将来的比较打下根本。

  完全性查抄是Tripwire的首要模式,把当前文件签名和基线数据库进行比较来进行查抄。

  有两种更新模式承诺用户调剂Tripwire数据库以消弭不感欢愉爱好的成果和应付正常的系统改变。例如当用户帐号正常增加或删除时,不希看Tripwire反复陈述/etc/passwd文件被改动了。

  默许撑持陈述编制

  Syslog

  Mail

  寄望事项

  有一点要寄望,上述保障机制的重点在于数据库内的数字签名,假定数据库是不成靠的,则一切工作都损掉意义。所以在Tripwire生成数据库后,这个库文件的安然极其首要。比较常见的做法是将数据库文件, Tripwire二进制文件,建设文件伶仃保留到"可拿走并锁起来"的质上,如光盘,将上述文件复制到光盘后,封锁写呵护口,锁到保险柜中。如许即便侵进者拿到盘也无计可施。除这类编制外,操纵PGP等加密东西对上述关头文件进行数字签名也是一个很好的选择。

  当然,当治理员本身对某些文件更动时, Tripwire的数据库必定是需要随之更新的, Tripwire考虑到了这一点,它有四种工作模式:数据库生成,完全性查抄,数据库更新。交互更新。当治理员更动文件后,可运行数据库更新模式来产生新的数据库文件。

  Tripwire只撑持英文系统

  单文件大年夜于3G的时辰履行tripwire –check 会犯错,具体启事不明。

  Tripwire Install

  OS:CentOS

  # http://sourceforge.net/projects/tripwire/

  # install sendmail, wget

  yum -y install gcc gcc-c++

  cd /home

  wget http://jaist.dl.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2

  tar -xf tripwire-2.4.2.2-src.tar.bz2

  cd tripwire-2.4.2.2-src

  ./configure --prefix=/home/tripwire

  #在make install 期间,需要手动键进ENTER,浏览媒介然后输进accept,接下来需要手动设置3组密匙口令 (建议:可以3组选统一个暗码,请设置一个强力的口令,然后请服膺)

  make &&make install

  # create database

  /home/tripwire/sbin/tripwire --init

  # 履行查抄

  /home/tripwire/sbin/tripwire --check

  #设置 crontab

  crontab -e

  00 10 * * * su /home/tripwire/sbin/tripwire --check|mail -s "tripwire report" example@xiaomi.com

  后续扩大:

  汇集多台tripwire陈述,集中措置告警信息发送邮件通知相干人员,并遵循每天的陈述进行存档,便利往后查看。

  最后相干人员收到的邮件以下:

  标题问题:Tripwire Report

  HI,All

  文件完全性监控状况

  hostname1 正常

  hostname2 正常

  hostname3 正常

  hostname4 异常

  hostname5 正常

  hostname6 异常

  异常的办事器请拷贝主机名,拜候下面URL进行搜刮查看具体信息。

相关文章
------分隔线----------------------------

推荐内容
热点内容