tripwire安装配置.doc

[原]用Tripwire实现系统完整性检查??  HYPERLINK /user/1/ \t _blank linuxing?, 12:56 ,? HYPERLINK /category/1/ \o 查看分类： 网络服务 网络服务??? HYPERLINK /category/20/ \o 查看分类： 安全相关 安全相关?,? HYPERLINK /post/133/ \l reply \o 发表您的评论 评论(0)?,? HYPERLINK javascript:%20void(0); \o 查看引用地址 引用(0)?,? HYPERLINK /post/133/ 阅读(12294)?, Via 本站原创? HYPERLINK javascript:%20doZoom(16); 大?|? HYPERLINK javascript:%20doZoom(14); 中?|? HYPERLINK javascript:%20doZoom(12); 小? ? ?以前的日志中也曾经提到，由于Linux服务器执行同样的配置，可使用不同的配置及启动方式，所以，我们应该尽可能按照标准的配置模式进行。但万一服务器给入侵，黑客并不会考虑您运行的配置模式，并会通过修改系统的核心执行文件，如：ls、ps、top等方式尽可能的去隐含自己的行踪。此时，若未能及时发现问题，我们将会处在很被动的位置。而解决该问题的其中一个方法，就是利用一些工具，定时对系统的核心文件进行跟踪，在发现文件被修改后，及时采取对应的措施。Tripwire是其中一款常见的完整性检查工具，同时也是红旗上自带的工具之一。一、原理? ?Tripwire可以对要求校验的系统文件进行类似md5的运行，而生成一个唯一的标识，即“快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后，再次运行Tripwire，其会进行前后属性的对比，并生成相关的详细报告。? ?Tripwire由下面部分组成： 引用 1、配置文件：定义数据库、策略文件和Tripwire可执行文件的位置：/etc/tripwire/twcfg.txt2、策略：定义检测的对象及违规时采取的行为：/etc/tripwire/twpol.txt3、数据库：用于存放生成的快照：/var/lib/tripwire/$(HOSTNAME).twd ? ?另外，Tripwire为了自身的安全，防止自身被篡改，也会对自身进行加密和签名处理。其中，包括两个密钥： 引用 1、site密钥：用于保护策略文件和配置文件，只要使用相同的策略和配置的机器，都可以使用相同的site密钥：/etc/tripwire/site.key2、local密钥：用户保护数据库和分析报告，这肯定不会重复的：/etc/tripwire/$(HOSTNAME)-local.key 二、安装及初始化? ?以红旗DC 5.0 for x86为例，在系统安装完毕后，就会带有Tripwire： # rpm -qa|grep tripwiretripwire-2.3.1-18.2AX 1、安装可以先使用twpol.txt默认的配置内容。然后运行： cd /etc/tripwire./twinstall.sh twinstall脚本会执行下面的任务，也可用手工方式运行相应的命令实现：a）创建site密钥，为安全起见，会提示输入口令（最少8位） twadmin --generate-keys --site-keyfile /etc/tripwire/site.key b）创建local密钥，同样的，也会提示输入口令 twadmin --generate-keys --site-keyfile /etc/tripwire/`hostname`-local.key c）利用site密钥对twcfg.txt进行签名，并将签名后的文件存为tw.cfg twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \--site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt 会提示输入site.key的口令d）利用site密钥对twpol.txt进行签名，并将签名后的文件存为tw.pol twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg \--site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt 也会提示输入site.key的