日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Linux下文件完整性監(jiān)控工具Tripwire詳解

簡介

Tripwire 是目前最為著名的Unix下文件系統(tǒng)完整性檢查的軟件工具,這一軟件采用的技術核心就是對每個要監(jiān)控的文件產(chǎn)生一個數(shù)字簽名,保留下來。當文件現(xiàn)在的數(shù)字簽名與保留的數(shù)字簽名不一致時,那么現(xiàn)在這個文件必定被改動過了。

軟件特點

監(jiān)視和檢查系統(tǒng)發(fā)生的變化能夠及時地幫助你發(fā)現(xiàn)攻擊者的入侵,它們能夠很好地提供系統(tǒng)完整性的檢查。

用Tripwire建立數(shù)據(jù)完整性監(jiān)測系統(tǒng)。雖然它不能抵御黑客攻擊以及黑客對一些重要文件的修改,但是可以監(jiān)測文件是否被修改過以及哪些文件被修改過,從而在被攻擊后有的放矢的策劃出解決辦法。

Tripwire原理

Tripwire的原理是Tripwire被安裝、配置后,將當前的系統(tǒng)數(shù)據(jù)狀態(tài)建立成數(shù)據(jù)庫,隨著文件的添加、刪除和修改等等變化,通過系統(tǒng)數(shù)據(jù)現(xiàn)狀與不斷更新的數(shù)據(jù)庫進行比較,來判定哪些文件被添加、刪除和修改過。正因為初始的數(shù)據(jù)庫是在Tripwire本體被安裝、配置后建立的原因,我們務必應該在服務器開放前,或者說操作系統(tǒng)剛被安裝后用Tripwire構建數(shù)據(jù)完整性監(jiān)測系統(tǒng)。

Tripwire的基本操作

一個配置文件(tw.config)描述監(jiān)測哪些目錄和文件,還有一個基線簽名數(shù)據(jù)庫產(chǎn)生一個有關改動的詳細報告。

當?shù)谝淮芜\行Tripwire時,程序創(chuàng)建一個簽名的基線數(shù)據(jù)庫。下一次運行時,它使用tw. config文件產(chǎn)生一個新的簽名數(shù)據(jù)庫。然后,它比較兩個數(shù)據(jù)庫,實施用戶定義的任何選項屏蔽(排除經(jīng)常更改的文件),最后通過電子郵件或顯示器來為用戶在終端上輸出一個可讀的報告。

Tripwire有四種操作模式:數(shù)據(jù)庫生成、完整性檢查、數(shù)據(jù)庫更新或交互式更新。

數(shù)據(jù)庫生成模式產(chǎn)生一個基線數(shù)據(jù)庫,為未來的比較打下基礎。

完整性檢查是Tripwire的主要模式,把當前文件簽名和基線數(shù)據(jù)庫進行比較來進行檢查。

有兩種更新模式允許用戶調(diào)整Tripwire數(shù)據(jù)庫以消除不感興趣的結果以及應付正常的系統(tǒng)變化。例如當用戶帳號正常增加或刪除時,不希望Tripwire重復報告/etc/passwd文件被改動了。

默認支持報告方式

Syslog

Mail

注意事項

有一點要注意,上述保障機制的重點在于數(shù)據(jù)庫內(nèi)的數(shù)字簽名,如果數(shù)據(jù)庫是不可靠的,則一切工作都喪失意義。所以在Tripwire生成數(shù)據(jù)庫后,這個庫文件的安全極為重要。比較常見的做法是將數(shù)據(jù)庫文件, Tripwire二進制文件,配置文件單獨保留到"可拿走并鎖起來"的質(zhì)上,如光盤,將上述文件復制到光盤后,關閉寫保護口,鎖到保險柜中。這樣即使侵入者拿到盤也無計可施。除這種辦法外,利用PGP等加密工具對上述關鍵文件進行數(shù)字簽名也是一個很好的選擇。

當然,當管理員自身對某些文件更動時, Tripwire的數(shù)據(jù)庫必然是需要隨之更新的, Tripwire考慮到了這一點,它有四種工作模式:數(shù)據(jù)庫生成,完整性檢查,數(shù)據(jù)庫更新。交互更新。當管理員更動文件后,可運行數(shù)據(jù)庫更新模式來產(chǎn)生新的數(shù)據(jù)庫文件。

Tripwire只支持英文系統(tǒng)

單文件大于3G的時候執(zhí)行tripwire –check 會出錯,具體原因不明。

Tripwire Install

OS:CentOS

# http://sourceforge.net/projects/tripwire/

# install sendmail, wget

yum -y install gcc gcc-c++

cd /home

wget http://jaist.dl.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2

tar -xf tripwire-2.4.2.2-src.tar.bz2

cd tripwire-2.4.2.2-src

./configure --prefix=/home/tripwire

#在make install 期間,需要手動鍵入ENTER,閱讀前言然后輸入accept,接下來需要手動設置3組密匙口令 (建議:可以3組選同一個密碼,請設置一個強力的口令,然后請牢記)

make && make install

# create database

/home/tripwire/sbin/tripwire --init

# 執(zhí)行檢查

/home/tripwire/sbin/tripwire --check

#設置 crontab

crontab -e

00 10 * * * su /home/tripwire/sbin/tripwire --check|mail -s "tripwire report" example@xiaomi.com

后續(xù)擴展:

收集多臺tripwire報告,集中處理告警信息發(fā)送郵件通知相關人員,并按照每天的報告進行存檔,方便日后查看。

最后相關人員收到的郵件如下:

標題:Tripwire Report
HI,All
文件完整性監(jiān)控狀態(tài)
hostname1 正常
hostname2 正常
hostname3 正常
hostname4 異常
hostname5 正常
hostname6 異常
異常的服務器請拷貝主機名,訪問下面URL進行搜索查看詳細信息。
http://tripwire.report.xiaomi.com/tripwire_2013-12-4.txt

分享文章:Linux下文件完整性監(jiān)控工具Tripwire詳解
網(wǎng)頁網(wǎng)址:http://www.dlmjj.cn/article/cceecds.html