Ubuntu tripwire 配置安装
Ubuntu tripwire 配置安装安装系统:ubuntu12.04
本文档有些内容是引用其他同僚的如有侵权 欢迎联系
原理
Tripwire可以对要求校验的系统文件进行类似md5的运行,而生成一个唯一的标识,即“快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后,再次运行Tripwire,其会进行前后属性的对比,并生成相关的详细报告。
Tripwire由下面部分组成:
1、配置文件:定义数据库、策略文件和Tripwire可执行文件的位置:
/etc/tripwire/twcfg.txt
2、策略文件:定义检测的对象及违规时采取的行为:
/etc/tripwire/twpol.txt
3、数据库文件:用于存放生成的快照:
/var/lib/tripwire/$(HOSTNAME).twd
Tripwire为了自身的安全,防止自身被篡改,也会对自身进行加密和签名处理。其中,包括两个密钥:
1、site密钥:用于保护策略文件和配置文件,只要使用相同的策略和配置的机器,都可以使用相同的site密钥:
/etc/tripwire/site.key
2、local密钥:用户保护数据库和分析报告
/etc/tripwire/$(HOSTNAME)-local.key
软件安装
Apt-get install tripwire
使用local密钥的口令初始化数据库
/usr/sbin/tripwire –init
如果出现等报错 建议修改twopl文件将不需要监控的项目 删除或注释
修改配置文件
Apt-get 安装的 tripwire 配置文件默认目录为 /etc/tripwire/目录下
Rm –rf tw.cfg 删除已经生成的配置文件
Rm –rf tw.pol 删除已经生成的策略文件
Vim twcfg.txt
ROOT =/usr/sbin 命令
POLFILE =/etc/tripwire/tw.pol策略文件
DBFILE =/var/lib/tripwire/$(HOSTNAME).twd 数据库文件
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.keysite密钥文件
LOCALKEYFILE=/etc/tripwire/$(HOSTNAME)-local.key local 密钥文件
EDITOR =/usr/bin/editor
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =true
MAILMETHOD =SMTP 邮件使用的协议
SMTPHOST =localhost主机
SMTPPORT =25 端口
TEMPDIRECTORY =/tmp 临时文件存放目录
修改策略文件把不需要监控的项目 删除
recurse=n就是定义递归深度,0为目录本身这一层。
例如:
/etc/rc6.d -> $(SEC_BIN) (recurse=n);
利用site密钥对twcfg.txt进行签名,并将签名后的文件存为tw.cfg
twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \
--site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt
会提示输入site.key的口令
利用site密钥对twpol.txt进行签名,并将签名后的文件存为tw.pol
twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg \
--site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt
重新初始化
/usr/sbin/tripwire --init
进行测试
root@weiliu:/etc# chmod 777 passwd
root@weiliu:/etc# /usr/sbin/tripwire --check
更新数据库文件
tripwire --update --twrfile /var/lib/tripwire/report/*****.twr(最新的)
常用命令
1. 可以对指定的文件或目录检测:
tripwire -m c /bin/cp /etc
2. 可以对某一规则检测:
tripwire -m c --rule-name "My check files"
3. 还可以对某一等级检测:
tripwire --check --severity 50
4. 在使用site.key对策略文件和配置文件加密和签名后,为安全起见,都会把明文的twcfg.txt和twpol.txt删掉。但如果您需要修改策略和配置文件,这还是必须要用到这两个文件的。
所以,可以使用下面的命令恢复:
cd /etc/tripwire
twadmin --print-cfgfile > twcfg.txt
twadmin --print-polfile > twpol.txt
5. 查看数据库文件
twprint --print-report --twrfile /var/lib/tripwire/liuwei.twd | more
6.Database Initialization:tripwire [-m i|--init]
Integrity Checking: tripwire [-m c|--check] ]
Database Update: tripwire [-m u|--update]
Policy Update: tripwire [-m p|--update-policy] policyfile.txt
Test: tripwire [-m t|--test] --email address
7.创建site密钥,为安全起见,会提示输入口令
twadmin --generate-keys --site-keyfile /etc/tripwire/site.key
创建local密钥,同样的,也会提示输入口令
twadmin --generate-keys --site-keyfile /etc/tripwire/`hostname`-local.key
页:
[1]