成功編譯Unix--Tripwire,我們准備開始對需要監控的文件進行掃描,以生成Unix--Tripwire數據庫,在Unix--Tripwire 的src目錄下:如下操作。
/tripwire -init,則系統會根據tw.conf.sunos5文件內的設置,開始掃描並生成相應的數據庫,上面提到,數據庫文件的路徑是在第二步configh中設置的,在本例中為/var/tripwire,我們得到了名為tw.db_secu.Unix.com的數據庫文件。
建議此時將Unix--Tripwire可執行文件,數據庫文件,配置文件COPY到軟盤等地方,放到安全的地方。以後需要安全鑒別時直接在軟盤上執行即可。
測試
數據庫生成了,我們來測試一下吧,首先我們在根下touch生成一個goadd文件,其次我們把根下的.cshrc文件做一下改動,在裡面加入幾個#注釋號。然後我們來運行一下Unix--Tripwire看如何:
- / Tripwire -c ./tw.config.sunos5 -d ./tw.db_secu.Unix.com
- Tripwire(tm) ASR (Academic Source Release) 1.3.1
- File Integrity Assessment Software
- (c) 1992, Purdue Research Foundation, (c) 1997, 1999 Tripwire
- Security Systems, Inc。 All Rights Reserved。 Use Restricted to
- Authorized Licensees。
- ### Phase 1: Reading configuration file
- ### Phase 2: Generating file list
- ./tripwire: /.profile: No such file or directory
- ./tripwire: /kernel/Unix: No such file or directory
- ### Phase 3: Creating file information database
- ### Phase 4: Searching for inconsistencies
- ###
- ### Total files scanned: 4437
- ### Files added: 1
- ### Files deleted: 0
- ### Files changed: 1
- ###
- ### Total file violations: 2
- ###
- added: -rw-r--r-- root 0 Jul 3 18:45:31 2000 /goadd
- changed: -r--r--r-- root 669 Jul 3 18:46:15 2000 /.cshrc
- ### Phase 5: Generating observed/expected pairs for changed files
- ###
- ### Attr Observed (what it is) Expected (what it should be)
- ### =========== ============================= =============================
- /.cshrc
- st_size: 669 668
- st_mtime: Mon Jul 3 18:46:15 2000 Mon Jul 3 09:00:41 2000
- st_ctime: Mon Jul 3 18:46:15 2000 Mon Jul 3 09:00:41 2000
- md5 (sig1): 3z9gKjlZGq5GbeWOxpYaF9 1Z7K0n3ZKAyuPpAZB1G8uq
- snefru (sig2): 1vCDeMR45lpRCChmDithiW 1oRYPpQ:oZA6hVx6Zi4.NG
可以看到,系統運行經過了5個步驟,首先讀取配置文件,其次生成配置文件中設置為需要監控,但實際並不存在的文件列表。第三部生成文件信息庫,第四步報告檢查情況。
我們看到共掃描了4437個文件,其中有一個文件是新增加的,有一個文件發生了改變。在下面它列出了這兩個文件-正是我們做了手腳的文件!在最後一步Unix--Tripwire將發生了改變的文件現在字節數,生成時間,修改時間, md5, snefru簽名及數據庫中的記錄對比列出,是不是很爽?
上面我們講到的是Unix--Tripwire的主要功能,在命令行狀態下敲入tripwire -h 就會有其它使用參數的介紹,有興趣的管理員不妨一試.