tripwire-文件指纹


Tripwire是目前最为著名的unix下文件系统完整性检查的软件工具,这一软件采用的技术核心就是对每个要监控的文件产生一个数字签名,保留下来。当文件现在的数字签名与保留的数字签名不一致时,那么现在这个文件必定被改动过了。

Tripwire可以对要求校验的系统文件进行类似md5的运行,而生成一个唯一的标识,即“快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后,再次运行Tripwire,其会进行前后属性的对比,并生成相关的详细报告。

1、下载并安装

  1. [root@ipython ~]# wget http://nchc.dl.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2[root@ipython ~]# tar jxf tripwire-2.4.2.2-src.tar.bz2   
  2. [root@ipython ~]# cd tripwire-2.4.2.2-src  
  3.  
  4. [root@ipython tripwire-2.4.2.2-src]#./configure --prefix=/software/tripwire  
  5. [root@ipython tripwire-2.4.2.2-src]# make   
  6. [root@ipython tripwire-2.4.2.2-src]# make install  
  7.  
  8. ############INSTALL 交互#################
  9. Press ENTER to view the LicenseAgreement.       ###回车阅读协议  
  10. license agreement.[donot accept] accept     ###同意协议
  11. Continuewith installation?[y/n] y        ###确认继续安装
  12. Enter the site keyfile passphrase:              ###需要记住的keyfile
  13. Verify the site keyfile passphrase:             ###重复
  14. Enter the local keyfile passphrase:             ###需要记住的local keyfile
  15. Verify the local keyfile passphrase:            ###重复
  16. Please enter your site passphrase:              ###输入
  17. Please enter your site passphrase:              ###输入
  18. ############交互结束,完成安装#################
  19. [root@ipython tripwire-2.4.2.2-src]# ls /software/tripwire/etc/| sort   
  20. ipython.me-local.key        ####加密本地密钥文件  
  21. site.key            ####加密站点密钥文件  
  22. tw.cfg              ####加密配置变量文件  
  23. tw.pol              ####加密策略文件  
  24. twcfg.txt           ####定义数据库、策略文件和Tripwire可执行文件的位置  
  25. twpol.txt           ####定义检测的对象及违规时采取的行为 

2、初始化(生成基准数据库)

  1. [root@ipython ~]#/software/tripwire/sbin/tripwire --init  
  2. Please enter your local passphrase:###键入密码,后面省略此交互  
  3. ...  
  4. ...  
  5. Wrote database file:/software/tripwire/lib/tripwire/ipython.me.twd  
  6. The database was successfully generated. 

3、第一次完整性检查,和常用检查参数

  1. [root@ipython ~]#/software/tripwire/sbin/tripwire --check  
  2.  
  3. ##默认检查报告存放路径##/software/tripwire/lib/tripwire/report/  
  4. ##指定存放路径##  
  5. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --twrfile ./test.twr  
  6. ###Email 发送报告###  
  7. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --email-report   
  8. ###指定Email 报告的级别###  
  9. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --email-report --email-report-level 2  
  10. ###使用指定严重性等级的规则进行检查###  
  11. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --severity 80  
  12. ###使用指定的规则名检查##  
  13. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --rule-name rulename   
  14. ###只检查指定的文件或目录  
  15. [root@ipython ~]#/software/tripwire/sbin/tripwire --check object1 object2 object3  
  16. ###检查是忽略某属性###  
  17. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --ignore "property, property, property, property"  
  18. ###获取帮助  
  19. [root@ipython ~]#/software/tripwire/sbin/tripwire --help all  
  20.  
  21. ##检视报告##  
  22. [root@ipython ~]#/software/tripwire/sbin/twprint --print-report --twrfile ./test.twr   
  23.  
  24. ##重定向加密报告的内容##  
  25. [root@ipython ~]#/software/tripwire/sbin/twprint --print-report --twrfile ./test.twr > output.text  
  26.  
  27. ##指定报告输出时的级别##  
  28. [root@ipython ~]#/software/tripwire/sbin/twprint --print-report --report-level 4--twrfile ./test.twr > output.text 

4、升级基准数据库文件

  1. ###升级的目的是很正常的,因为check 是基于基准数据的###
  2. [root@ipython ~]#/software/tripwire/sbin/tripwire --update --twrfile ./test.twr
  3. ###检测后立即自动update###
  4. [root@ipython ~]#/software/tripwire/sbin/tripwire --check --interactive

5、升级策略文件

  1. ###更新策略稳健,需要修改策略的规则,先将策略重定向出来###  
  2. [root@ipython ~]#/software/tripwire/sbin/twadmin --print-polfile > twpol.txt  
  3. ###照猫画虎修改吧,然后update###  
  4. [root@ipython ~]#/software/tripwire/sbin/tripwire --update-policy twpol.txt   
  5. Parsing policy file:/root/twpol.txt  
  6. Please enter your local passphrase:Please enter your site passphrase: 

6、修改site key 和 local key

  1. ###修改前记得备份下###  
  2. [root@ipython ~]#/software/tripwire/sbin/twadmin --generate-keys --site-keyfile /software/tripwire/etc/site.key   
  3.  
  4. [root@ipython ~]#/software/tripwire/sbin/twadmin --generate-keys --local-keyfile /software/tripwire/etc/site.key   
  5.  
  6. #配置文件通过site key 假面,数据文件和报告文件用local key 加密#  
  7. [root@ipython ~]#/software/tripwire/sbin/twadmin --encrypt --site-keyfile /software/tripwire/etc/site.key   
  8.  
  9. [root@ipython ~]#/software/tripwire/sbin/twadmin --encrypt --local-keyfile /software/tripwire/etc/ipython.me-local.key 
原文链接:http://www.ipython.me/centos/tripwire-file-md5.html

相关内容