Linux系统安全讲义-IDSTripwire档案比对工具

Linux系統安全講義-IDS:Tripwire檔案比對工具Page-1Editedbybono@teacher.comLinux系統安全講義-IDS:Tripwire檔案比對工具一、Tripwire簡介1.Tripwire是一套比對檔案/目錄完整性的安全工具，經由比對現存檔案與先前所建立的基準資料庫(baselinedatabase)，如果發現有任何資料受到新增、刪除或修改，Tripwire可即時通知系統管理員，並產生彈性的可讀式報告；管理員可依此評估是否要進行後續檢驗或系統還原的工作。2.TripwireRPM版的相關檔案如下：程式檔：(在/usr/sbin/)－tripwire(#mantripwire)：提供五大模式維護工作，(1)資料庫初始化(2)完整性檢驗(3)資料庫更新(4)原則更新(5)郵件測試－twadmin(#mantwadmin)：可產生Tripwire所使用的設定檔，原則檔及金鑰檔，也用來做編碼及簽章－twprint(#mantwprint)：以純文字列出資料庫和報告檔內容－siggen(#mansiggen)：可檢視檔案的雜湊編碼資料設定檔：/etc/tripwire/tw.cfg--(twcfg.txt-未加密)原則檔：/etc/tripwire/tw.pol--(twpol.txt-未加密)資料庫：/var/lib/tripwire/$(HOSTNAME).twd報告檔：/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr金鑰檔：分為sitekey和localkey；sitekey可用在多套系統上，是用來保護設定檔和原則檔；localkey是針對個別主機使用的，例如每個主機的資料庫(/etc/tripwire/site.key和$(HOSTNAME)-local.key3.下載軟體：tar.gz:(下載tripwire-2.3.1以上版本)rpm:(RedHat光碟第二片也有)Linux系統安全講義-IDS:Tripwire檔案比對工具Page-2Editedbybono@teacher.com二、實做步驟1.RPM檔安裝後(#rpm-ivhtripwire-xxx.rpm)，需要再執行/etc/tripwire/twinstall.sh#/etc/tripwire/twinstall.sh----輸入sitekey&localkey密碼2.DatabaseInitializationMode#/usr/sbin/tripwire-mi3.修改原則檔以符合系統現有的檔案架構#cd/etc/tripwire#/usr/sbin/tripwire-mc|grepFilenametwnotfound.txt編寫一個shellscript(twfilter.sh)(參考來源:網中人)#!/bin/bashorg_file=/etc/tripwire/twpol.txtnot_file=twnotfound.txttmp_file=tmp.txtnew_file=new.txtcat$org_file$tmp_fileforIin$(cat$not_file|cut-d:-f2);dogrep-v$i$tmp_file$new_filecat$new_file$tmp_filedonemv$org_file$org_file.bakcat$new_file$org_filerm-f$new_filerm-f$tmp_file#---ENDScript---##shtwfilter.sh--產生符合系統的原則檔4.根據新的原則檔重建資料庫#/usr/sbin/twadmin-mP/etc/tripwire/twpol.txt#/usr/sbin/tripwire-mi5.**重要**建立資料庫後”務必”刪除純文字格式的原則檔和設定檔#rm/etc/tripwire/twpol.txt#rm/etc/tripwire/twcfg.txt6.IntegrityCheckingMode#/usr/sbin/tripwire-mc可在/etc/cron.daily/下新增script:(tw-check)#!/bin/bash/usr/sbin/tripwire-mc|mail-sTripwireDailyReportfrom{$HOSTNAME}root@localhostLinux系統安全講義-IDS:Tripwire檔案比對工具Page-3Editedbybono@teacher.com7.DatabaseUpdateMode如果系統有新增或修改檔案，需更新資料庫：#/usr/sbin/tripwire-mu-r/var/lib/tripwire/report/{HOSTNAME}-{DATE}.twr進入vi編輯模式，在報告檔中有違反原則的會有一個選擇框([X])，若維持X表示接受此更動，如果移除X則表示不更新此變化(未來再檢查還是會列出來)，改完存檔時需輸入localkey密碼，Tripwire會更新資料庫並存檔8.PolicyUpdateMode將現有的原則檔(加密版)匯出為twpol.txt(純文字版)#/usr/sbin/twadmin-mp/etc/tripwire/twpol.txt，改完再更新回加密版#/usr/sbin/tripwire-mp/etc/tripwire/twpol.txt#/usr/sbin/tripwire-mc--立即做檢查，並記得刪除twpol.txt!!!9.如果要更新設定檔，需先匯出現有的設定檔(加密版)為純文字格式#/usr/sbin/twadmin-mf/etc/tripwire/twcfg.txt，改完再更新回加密版#/usr/sbin/twadmin-mF--site-keyfile/etc/tripwire/site.keytwcfg.txt#rmtwcfg.txtLinux系統安全講義-IDS:Tripwire檔案比對工具Page-4Editedbybono@teacher.com三、Tripwire運作原理圖解