信息安全监控.pdfVIP

信息安全监控信息安全监控 人人网安全交流人人网安全交流 Cnbird@wanmei qQ:2010289 公司 徽标徽标 交流内容 安全监控简介 文件系统监控文件系统监控 网络监控 BASH监控 Nagios实现高级安全监控 OSSIM高级监控平台 安全监控内容 安全监控通过实时监控网络或主机活动安全监控通过实时监控网络或主机活动，监视分析用户和系统的行监视分析用户和系统的行 为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻 击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为， 使用诱骗服务器记录黑客行为等功能使用诱骗服务器记录黑客行为等功能，使管理员有效地监视使管理员有效地监视、控制控制 和评估网络或主机系统。 文件系统监控原理 当文件系统监控程序运行在数据库生成模式时当文件系统监控程序运行在数据库生成模式时，会根据管会根据管 理员设置的一个配置文件对指定要监控的文件进行读取， 对每个文件生成相应数字签名对每个文件生成相应数字签名，并将这些结果保存在自己并将这些结果保存在自己 的数据库中。除此以外，管理员还可使用MD5, MD4， CRC32，SHA等哈希函数。当怀疑系统被入侵时，可由 根据先前生成的，数据库文件来做一次数字签名的对照， 如果文件被替换，则与数据库内相应数字签名不匹配， 这时会报告相应文件被更动这时会报告相应文件被更动，管理员会收到报警证明系统管理员会收到报警证明系统 文件遭到篡改。 文件系统监控软件 TripwireTripwire Download:/projects/tripwire AideAide Download:/ OssecOssec Download:/ 文件系统监控软件实例 Tripwire 1.源代码安装 2.rpm安装 rrpmpm -ivhivh ftp://rpmfind/linux/epel/5/i386/tripwirenet/linux/epel/5/i386/tripwire-1- 1.el5.i386.rpm 3.配置 3.1 编辑twcfg.txt修改配置 LOOSEDIRECTORYCHECKING=ture关闭监控所有的目录减少不必要的报 警警 3.2 生成key twadmin --ggenerate-keyys --site-keyyfile /etc/trippwire/site.keyy twadmin --generate-keys --local-keyfile ./$HOSTNAME-local.key 文件系统监控软件实例 3.3 加密配置文件: 加密配加密配置文件文件 twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key twcfg.txt twadmin --create-ppolfile --cfggfile tw.cfgg --site-keyyfile site.keyy twppol.txt 3.4 修改权限 chmod 0600 tw.cfg tw.pol 33.55 创建基线创建基线 tripwire --init --cfgfile ./tw.cfg --polfile ./tw.pol --site-keyfile ./site.key --local- keyfile ./-local.key 3.6 检查(由于是默认的所以会遗遗漏重要的目录,例如如我们们的web 目录,我们们可以添 加上,添加的操作是在twpol.txt 中,修改完毕以后在进行加密) tripwire --check tripwire --check -r /var/lib/tripwire/report/ 113844.twr | logger -t tripwire