Linux系统安全讲义-IDSTripwire档案比对工具.docVIP

Linux系统安全讲义-IDS:Tripwire档案比对工具 一、Tripwire 简介 Tripwire是一套比对档案/目录完整性的安全工具，经由比对现存档案与先前所建立的基准数据库(baseline database)，如果发现有任何数据受到新增、删除或修改，Tripwire可实时通知系统管理员，并产生弹性的可读式报告；管理员可依此评估是否要进行后续检验或系统还原的工作。 Tripwire RPM 版的相关档案如下： 程序文件：(在 /usr/sbin/) －tripwire(#man tripwire)：提供五大模式维护工作，(1)数据库初始化 (2)完整性检验 (3)数据库更新 (4)原则更新 (5)邮件测试 －twadmin(#man twadmin)：可产生Tripwire所使用的设定档，原则档及金钥档，也用来做编码及签章 －twprint(#man twprint)：以纯文字列出数据库和报告文件内容 －siggen(#man siggen)：可检视档案的杂凑编码数据 设定档：/etc/tripwire/tw.cfg --(twcfg.txt-未加密) 原则档：/etc/tripwire/tw.pol --(twpol.txt-未加密) 数据库：/var/lib/tripwire/$(HOSTNAME).twd 报告档：/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr 金钥档：分为site key和local key；site key可用在多套系统上，是用来保护设定档和原则档；local key是针对个别主机使用的，例如每个主机的数据库(/etc/tripwire/site.key和 $(HOSTNAME)-local.key 下载软件：tar.gz: /projects/tripwire/ (下载tripwire-2.3.1以上版本)　　　　　rpm: 搜寻 tripwire (RedHat 光盘第二片也有) 二、实做步骤 RPM档安装后(#rpm -ivh tripwire-xxx.rpm)，需要再执行 /etc/tripwire/twinstall.sh#/etc/tripwire/twinstall.sh 输入site key local key 密码 Database Initialization Mode#/usr/sbin/tripwire -m i 修改原则文件以符合系统现有的档案架构#cd /etc/tripwire#/usr/sbin/tripwire -m c | grep Filename twnotfound.txt编写一个shell script (twfilter.sh) (参考来源:网中人) #!/bin/bash org_file=/etc/tripwire/twpol.txt not_file=twnotfound.txt tmp_file=tmp.txt new_file=new.txt cat $org_file $tmp_file for I in $( cat $not_file | cut -d : -f 2 ); do grep -v $i $tmp_file $new_file cat $new_file $tmp_file done mv $org_file $org_file.bak cat $new_file $org_file rm -f $new_file rm -f $tmp_file # END Script# #sh twfilter.sh -- 产生符合系统的原则文件 根据新的原则文件重建数据库#/usr/sbin/twadmin -m P /etc/tripwire/twpol.txt#/usr/sbin/tripwire -m i **重要**建立数据库后”务必”删除纯文字格式的原则文件和设定档#rm /etc/tripwire/twpol.txt#rm /etc/tripwire/twcfg.txt Integrity Checking Mode#/usr/sbin/tripwire -m c可在 /etc/cron.daily/ 下新增 script: (tw-check) #!/bin/bash /usr/sbin/tripwire -m c | mail -s Tripwire Daily Report from {$HOSTNAME} root@localhost Database Update Mode如果系统有新增或修改档案，需更新数据库：#/usr/sbin/tripwir