tripwire安裝配置.doc

原用Tripwire實現(xiàn)系統(tǒng)完整性檢查linuxing, 12:56 ,網(wǎng)絡(luò)服務安全相關(guān),評論(0),引用(0),閱讀(12294), Via 本站原創(chuàng)大|中|小 以前的日志中也曾經(jīng)提到，由于Linux服務器執(zhí)行同樣的配置，可使用不同的配置及啟動方式，所以，我們應該盡可能按照標準的配置模式進行。但萬一服務器給入侵，黑客并不會考慮您運行的配置模式，并會通過修改系統(tǒng)的核心執(zhí)行文件，如：ls、ps、top等方式盡可能的去隱含自己的行蹤。此時，若未能及時發(fā)現(xiàn)問題，我們將會處在很被動的位置。而解決該問題的其中一個方法，就是利用一些工具，定時對系統(tǒng)的核心文件進行跟蹤，在發(fā)現(xiàn)文件被修改后，及時采取對應的措施。Tripwire是其中一款常見的完整性檢查工具，同時也是紅旗上自帶的工具之一。一、原理 Tripwire可以對要求校驗的系統(tǒng)文件進行類似md5的運行，而生成一個唯一的標識，即“快照”snapshot。當這些系統(tǒng)文件的大小、inode號、權(quán)限、時間等任意屬性被修改后，再次運行Tripwire，其會進行前后屬性的對比，并生成相關(guān)的詳細報告。 Tripwire由下面部分組成：引用1、配置文件：定義數(shù)據(jù)庫、策略文件和Tripwire可執(zhí)行文件的位置：/etc/tripwire/twcfg.txt2、策略：定義檢測的對象及違規(guī)時采取的行為：/etc/tripwire/twpol.txt3、數(shù)據(jù)庫：用于存放生成的快照：/var/lib/tripwire/$(HOSTNAME).twd 另外，Tripwire為了自身的安全，防止自身被篡改，也會對自身進行加密和簽名處理。其中，包括兩個密鑰：引用1、site密鑰：用于保護策略文件和配置文件，只要使用相同的策略和配置的機器，都可以使用相同的site密鑰：/etc/tripwire/site.key2、local密鑰：用戶保護數(shù)據(jù)庫和分析報告，這肯定不會重復的：/etc/tripwire/$(HOSTNAME)-local.key二、安裝及初始化 以紅旗DC 5.0 for x86為例，在系統(tǒng)安裝完畢后，就會帶有Tripwire：# rpm -qa|grep tripwiretripwire-2.3.1-18.2AX1、安裝可以先使用twpol.txt默認的配置內(nèi)容。然后運行：cd /etc/tripwire./twinstall.shtwinstall腳本會執(zhí)行下面的任務，也可用手工方式運行相應的命令實現(xiàn)：a）創(chuàng)建site密鑰，為安全起見，會提示輸入口令（最少8位）twadmin -generate-keys -site-keyfile /etc/tripwire/site.keyb）創(chuàng)建local密鑰，同樣的，也會提示輸入口令twadmin -generate-keys -site-keyfile /etc/tripwire/hostname-local.keyc）利用site密鑰對twcfg.txt進行簽名，并將簽名后的文件存為tw.cfgtwadmin -create-cfgfile -cfgfile /etc/tripwire/tw.cfg -site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt會提示輸入site.key的口令d）利用site密鑰對twpol.txt進行簽名，并將簽名后的文件存為tw.poltwadmin -create-polfile -cfgfile /etc/tripwire/tw.cfg -site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt也會提示輸入site.key的口令，請注意參數(shù)。如果是手工創(chuàng)建上述密鑰和簽名的話，還需要設(shè)置權(quán)限：cd /etc/tripwirechown root:root site.key hostname-local.key tw.cfg tw.polchmod 600 site.key hostname-local.key tw.cfg tw.pol2、初始化數(shù)據(jù)庫使用local密鑰的口令初始化數(shù)據(jù)庫：tripwire -init這個時間會比較長，而且對系統(tǒng)的資源占用也比較厲害。其中，如果出現(xiàn)類似下面的錯誤：引用# Warning: File system error.# Filename: /dev/kmem# No such file or directory# Continuing.# Warning: File system error.# Filename: /proc/ksyms# No such file or directory# Continuing.這不用擔心，其原因是由于上面的目錄或文件是默然配置文件中定義掃描，而他們并不存在當前的系統(tǒng)中。解決的方法就是在生成tw.pol前，修改twpol.txt文件，把不需要掃描的路徑注釋或刪除即可。最后生成的數(shù)據(jù)庫文件會存放在：引用/var/lib/tripwire/.twd可用下面的命令查看數(shù)據(jù)庫內(nèi)容：twprint -print-dbfile -dbfile /var/lib/tripwire/.twd|more自此，tripwire安裝及初始化完成。為安全起見，可刪除明文形式的twcfg.txt和twpol.txt文件：rm twcfg.txt twpol.txt三、檢查完整性在生成原始數(shù)據(jù)庫完畢，以后就可以根據(jù)該數(shù)據(jù)庫對配置文件中定義的系統(tǒng)文件及目錄進行完整性檢查。默然情況下，每天會進行一次例行檢查：# ls /etc/cron.daily/tripwire-check/etc/cron.daily/tripwire-check當然，您也可以根據(jù)實際的情況，手工運行全面檢查的命令：tripwire -check如果其中發(fā)現(xiàn)類似下面的錯誤：引用1. File system error. Filename: /dev/kmem No such file or directory2. File system error. Filename: /proc/ksyms No such file or directory那通常的原因都是和前面生成初始化數(shù)據(jù)庫的使用相同的，不是嚴重的問題，只是因為這些文件或目錄不存在而已。解決的方法就是把這些目錄和文件在twpol.txt中排除后，再生成tw.pol，最后再初始化數(shù)據(jù)庫即可。當然，如果您已經(jīng)把前面的工作都做完了，也可以參考下面的方式更新數(shù)據(jù)庫的內(nèi)容。檢查生成的報告會放在：ls /var/lib/tripwire/report/-20070615-040442.twr四、更新數(shù)據(jù)庫1、查看報告twprint -print-report -twrfile /var/lib/tripwire/report/-20070615-040442.twr報告是加密的，并且以生成時間排序。2、更新數(shù)據(jù)庫更新數(shù)據(jù)庫的原因有很多，通常都是因為我們已知系統(tǒng)中某些文件被正確的修改，所以需要反應到數(shù)據(jù)庫中，以便今后排除這些文件。要更新數(shù)據(jù)庫，必須依賴最新的檢測報告：# ls -lt /var/lib/tripwire/report/hostname-*.twr|head -1-rw-r-r- 1 root root 14646 Jun 15 04:08 /var/lib/tripwire/report/-20070615-040442.twr更新：tripwire -update -twrfile /var/lib/tripwire/report/-20070615-040442.twr更