歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> 關於Unix

利用Tripwire檢測系統完整性(2)

現在,Tripwire自身已經完全就緒,接下來我們要做的事就是用它來執行完整性檢查。 四、維護策略文件和配置文件 如何查看策略和配置 如果您想浏覽一下Tripwire的策略和配置情況,但他們是以二進制的形式存放或當前缺失,請用下列命令: 生成有效配置文件 # cd 現在,Tripwire自身已經完全就緒,接下來我們要做的事就是用它來執行完整性檢查。

四、維護策略文件和配置文件

如何查看策略和配置

如果您想浏覽一下Tripwire的策略和配置情況,但他們是以二進制的形式存放或當前缺失,請用下列命令:

生成有效配置文件

# cd /etc/tripwire# twadmin --print-cfgfile > twcfg.txt


生成有效策略文件

# cd /etc/tripwire# twadmin --print-polfile > twpol.txt


因為有效配置文件和策略文件已經加密和簽名,所以他們是以密文的形式存放。如果想浏覽他們的話,需要先解密:將其轉換成明文的形式。為安全起見,一般建議在對他們重新進行簽名之後將明文形式的配置和策略文件刪除。

需要注意的是,盡管我們可以將twadmin的輸出重定向到任何文件當中,但安裝腳本twinstall.sh卻要求明文形式的策略和配置文件名為twcfg.txt和twpol.txt。

修改策略文件和配置文件

如果想改變Tripwire所檢查文件和目錄的話,或者想改變Tripwire的默認行為,那該怎麼辦呢?請按如下所示來進行:

首先,從明文文件中提取出策略和配置:

# cd /etc/tripwire# twadmin --print-polfile > twpol.txt# twadmin --print-cfgfile > twcfg.txt


策略文件twpol.txt和配置文件twcfg.txt的修改可以利用常見的文本編輯器來完成。對於修改過的策略文件twpol.txt和配置文件twcfg.txt文件,需要對他們進行再次簽名:

# twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \           --site-keyfile site_key etc/tripwire/twcfg.txt# twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg \          --site-keyfile site_key etc/tripwire/twpol.txt


然後,我們需要重新初始化數據庫

# tripwire --init# rm twcfg.txt twpol.txt


需要注意的是,我們只能對明文形式的策略和配置文件進行編輯,所以除非已有明文文件,否則必須先將加密簽名的策略和配置文件轉換成明文形式。另外,當在修改文件時,可能會遇到以下消息:

### Error: File could not be opened


這說明Tripwire沒有找到目標文件,如果是該文件的確不存在的話,我們就需要從策略和配置文件中去掉對該文件的引用(或將其注釋出來也可以),並對策略文件重新簽名。如果只是在完整性檢查之後簡單地更新一下數據庫的話,那完全沒必要嚴格按上述步驟來處理;但是對策略或配置文件作了修改後卻必須這樣處理。

五、配置完整性檢測

基本的完整性檢測配置

完整性檢驗的目的在於檢查一下自從上次Tripwire對文件作了快照以後,我們的文件是否發生了變動,我們可以簡單通過以下命令來達到此目的:

# tripwire -check


這是一條最基本的命令,它能告訴我們系統是否被修改了。它根據在策略文件中規定的規則,利用Tripwire數據庫跟文件系統當前狀態加以對比,之後將比較結果寫入標准輸出,並將其加蓋時間戳、簽名,然後作為一份Tripwire報告存放起來。另外,我們還可以針對數據庫中的單個或多個文件進行完整性檢查。若Tripwire的策略中包括以下規則:

(  rulename = "My funky files",  severity = 50){  /sbin/e2fsck                         -> $(SEC_CRclearcase/" target="_blank" >cc>IT) ;  /bin/cp                              -> $(SEC_CRIT) ;  /usr/tmp                             -> $(SEC_INVARIANT) ;  /etc/csh.cshrc                       -> $(SEC_CONFIG) ;}


那麼您就可以用以下命令來查看選中的文件和目錄:

# tripwire --check /bin/cp /usr/tmp


若要查看一條規則所對應的所有文件,用以下命令:

# tripwire --check --rule-name "My funky files"


也可以查看嚴重性大於等於特定值的所有規則,如下所示:

# tripwire --check --severity 40


關於策略文件的有關語法,請參閱有關手冊或查看聯機幫助:

$ tripwire --check --help

新聞3頁,當前在第1頁  1  2  3  

Copyright © Linux教程網 All Rights Reserved