第7章Tripwire.pdfVIP

下载 下载 第7章 Tripwire 本章讲述怎样使用 Tr i p w i r e工具来维护文件系统的完整性。文中对该程序的设计提供了概 念上的描述，同时还详细介绍了安装和配置的指令。 7.1 简介 Tr i p w i r e是一个完整性检测工具，用来监测对文件系统进行未加认证的修改。它对于检测 那些侵入者特别有用，这些入侵者为方便未来访问可能更改文件，删除或更改系统日志，留 下病毒、蠕虫和逻辑炸弹或其他报复性破坏。 多数U N I X 系统非常庞大，包括上万个文件。没有实用的方法来让一个人手工监测系统文 件以防被未加认可的修改。 Tr i p w i r e取得文件的数字“快照”或“指印”并保存在数据库中。 然后，它把文件当前的快照和原始的快照进行比较。已被添加、删除或更改内容的文件由 Tr i p w i r e进行标记，使系统管理员能够采取相应的措施。经过正确的安装、配置和监测，系统 管理员完全可以确定他们的“ t r i p w i r e ”系统没有被攻击。 Tr i p w i r e不仅对于检测侵入很有用，它还能在被侵入后进行恢复时节省大量的时间。如果 怀疑有一个未经认证的用户已获得了 r o o t权限，罪犯可以很容易地留下特洛伊木马或病毒。在 一个U N I X系统中手工检查4 0 0 0 0 多个文件是非常困难的。如果安装了 Tr i p w i r e ，就能很容易地 检查重要文件是否被破坏了。如果没有 Tr i p w i r e这样的完整性检查工具，那就别无选择只能重 装系统了— 一项耗时而又可能不需要的工作。 7.2 Tripwire概述 7.2.1 Tripwire的优点 Tr i p w i r e 是U N I X 安全规范中最有用且优美的工具之一。它是由 Eugene Spaf f o r d和G e n e Kim 1992 年在P u r d u e大学开发的，其软件包在 1 9 9 8年被商业化，现在由 Tripwire Security Inc. 来维护（h t t p : / / w w w. t r i p w i r e s e c u r i t y. c o m ）。该公司支持软件包的商业和免费两种版本，能在 多数U N I X系统中运行。 Tr i p w i r e体现了一个优秀安全工具的最好特征，包括自保护性、平台间可移植性、可配置 性、可扩展性和自包容性。 • 自保护性—为了防止修改， Tr i p w i r e 使用了 1 0种签名算法或单向哈希函数。其程序包 括：RSA Data Security 公司的M D 5 、M D 4和MD2 哈希算法，S n e f r u （Xerox 安全哈希函 数），S H A （安全哈希算法）和H a v a l编码。它还包含两个传统的 C R C过程。其缺省安装 为每个数据条目记录了两个签名，这使得攻击者通过填充额外字符来掩盖踪迹变得十分 困难。富有技巧的攻击者也许能改变文件而不改变文件长度以及文件与一个校验和之间 的匹配，但对于两个校验和实际不可能。 [ 1 ] • 可移植性 —笔者认为U N I X世界是多样化的，于是应把程序设计为在各种 U N I X平台间 第7章 Tr i p w i re 79 下载 有尽可能大的可移植性，程序可支持几十个 U N I X 版本。Tr i p w i r e 生成的数据库用A S C I I 文本编码，可以被任何文本处理程序操作或打印。 • 可配置性—Tr i p w i r e 可以监测每个文件或目录的权限、修改时间及其他参数的改变。 它还能配置成忽略某些特定文件和目录，或检查一个目录但不进入它里面。 • 可扩展性—Tr i p w i r e 可以一次安装而覆盖上千台机器。软件包包括一个预处理语言来 帮助系统管理员重用配置文件，多个机器可以共享一个配置文件，可为每台机器产生单 独一个数据库文件。 • 自包容性—Tr i p w i r e 的操作不依赖于任何外部程序。额外的程序不仅使安装费时