tripwire安裝配置.doc

原用Tripwire實(shí)現(xiàn)系統(tǒng)完整性檢查linuxing, 12:56 ,網(wǎng)絡(luò)服務(wù)安全相關(guān),評(píng)論(0),引用(0),閱讀(12294), Via 本站原創(chuàng)大|中|小 以前的日志中也曾經(jīng)提到，由于Linux服務(wù)器執(zhí)行同樣的配置，可使用不同的配置及啟動(dòng)方式，所以，我們應(yīng)該盡可能按照標(biāo)準(zhǔn)的配置模式進(jìn)行。但萬(wàn)一服務(wù)器給入侵，黑客并不會(huì)考慮您運(yùn)行的配置模式，并會(huì)通過(guò)修改系統(tǒng)的核心執(zhí)行文件，如：ls、ps、top等方式盡可能的去隱含自己的行蹤。此時(shí)，若未能及時(shí)發(fā)現(xiàn)問(wèn)題，我們將會(huì)處在很被動(dòng)的位置。而解決該問(wèn)題的其中一個(gè)方法，就是利用一些工具，定時(shí)對(duì)系統(tǒng)的核心文件進(jìn)行跟蹤，在發(fā)現(xiàn)文件被修改后，及時(shí)采取對(duì)應(yīng)的措施。Tripwire是其中一款常見的完整性檢查工具，同時(shí)也是紅旗上自帶的工具之一。一、原理 Tripwire可以對(duì)要求校驗(yàn)的系統(tǒng)文件進(jìn)行類似md5的運(yùn)行，而生成一個(gè)唯一的標(biāo)識(shí)，即“快照”snapshot。當(dāng)這些系統(tǒng)文件的大小、inode號(hào)、權(quán)限、時(shí)間等任意屬性被修改后，再次運(yùn)行Tripwire，其會(huì)進(jìn)行前后屬性的對(duì)比，并生成相關(guān)的詳細(xì)報(bào)告。 Tripwire由下面部分組成：引用1、配置文件：定義數(shù)據(jù)庫(kù)、策略文件和Tripwire可執(zhí)行文件的位置：/etc/tripwire/twcfg.txt2、策略：定義檢測(cè)的對(duì)象及違規(guī)時(shí)采取的行為：/etc/tripwire/twpol.txt3、數(shù)據(jù)庫(kù)：用于存放生成的快照：/var/lib/tripwire/$(HOSTNAME).twd 另外，Tripwire為了自身的安全，防止自身被篡改，也會(huì)對(duì)自身進(jìn)行加密和簽名處理。其中，包括兩個(gè)密鑰：引用1、site密鑰：用于保護(hù)策略文件和配置文件，只要使用相同的策略和配置的機(jī)器，都可以使用相同的site密鑰：/etc/tripwire/site.key2、local密鑰：用戶保護(hù)數(shù)據(jù)庫(kù)和分析報(bào)告，這肯定不會(huì)重復(fù)的：/etc/tripwire/$(HOSTNAME)-local.key二、安裝及初始化 以紅旗DC 5.0 for x86為例，在系統(tǒng)安裝完畢后，就會(huì)帶有Tripwire：# rpm -qa|grep tripwiretripwire-2.3.1-18.2AX1、安裝可以先使用twpol.txt默認(rèn)的配置內(nèi)容。然后運(yùn)行：cd /etc/tripwire./twinstall.shtwinstall腳本會(huì)執(zhí)行下面的任務(wù)，也可用手工方式運(yùn)行相應(yīng)的命令實(shí)現(xiàn)：a）創(chuàng)建site密鑰，為安全起見，會(huì)提示輸入口令（最少8位）twadmin -generate-keys -site-keyfile /etc/tripwire/site.keyb）創(chuàng)建local密鑰，同樣的，也會(huì)提示輸入口令twadmin -generate-keys -site-keyfile /etc/tripwire/hostname-local.keyc）利用site密鑰對(duì)twcfg.txt進(jìn)行簽名，并將簽名后的文件存為tw.cfgtwadmin -create-cfgfile -cfgfile /etc/tripwire/tw.cfg -site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt會(huì)提示輸入site.key的口令d）利用site密鑰對(duì)twpol.txt進(jìn)行簽名，并將簽名后的文件存為tw.poltwadmin -create-polfile -cfgfile /etc/tripwire/tw.cfg -site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt也會(huì)提示輸入site.key的口令，請(qǐng)注意參數(shù)。如果是手工創(chuàng)建上述密鑰和簽名的話，還需要設(shè)置權(quán)限：cd /etc/tripwirechown root:root site.key hostname-local.key tw.cfg tw.polchmod 600 site.key hostname-local.key tw.cfg tw.pol2、初始化數(shù)據(jù)庫(kù)使用local密鑰的口令初始化數(shù)據(jù)庫(kù)：tripwire -init這個(gè)時(shí)間會(huì)比較長(zhǎng)，而且對(duì)系統(tǒng)的資源占用也比較厲害。其中，如果出現(xiàn)類似下面的錯(cuò)誤：引用# Warning: File system error.# Filename: /dev/kmem# No such file or directory# Continuing.# Warning: File system error.# Filename: /proc/ksyms# No such file or directory# Continuing.這不用擔(dān)心，其原因是由于上面的目錄或文件是默然配置文件中定義掃描，而他們并不存在當(dāng)前的系統(tǒng)中。解決的方法就是在生成tw.pol前，修改twpol.txt文件，把不需要掃描的路徑注釋或刪除即可。最后生成的數(shù)據(jù)庫(kù)文件會(huì)存放在：引用/var/lib/tripwire/.twd可用下面的命令查看數(shù)據(jù)庫(kù)內(nèi)容：twprint -print-dbfile -dbfile /var/lib/tripwire/.twd|more自此，tripwire安裝及初始化完成。為安全起見，可刪除明文形式的twcfg.txt和twpol.txt文件：rm twcfg.txt twpol.txt三、檢查完整性在生成原始數(shù)據(jù)庫(kù)完畢，以后就可以根據(jù)該數(shù)據(jù)庫(kù)對(duì)配置文件中定義的系統(tǒng)文件及目錄進(jìn)行完整性檢查。默然情況下，每天會(huì)進(jìn)行一次例行檢查：# ls /etc/cron.daily/tripwire-check/etc/cron.daily/tripwire-check當(dāng)然，您也可以根據(jù)實(shí)際的情況，手工運(yùn)行全面檢查的命令：tripwire -check如果其中發(fā)現(xiàn)類似下面的錯(cuò)誤：引用1. File system error. Filename: /dev/kmem No such file or directory2. File system error. Filename: /proc/ksyms No such file or directory那通常的原因都是和前面生成初始化數(shù)據(jù)庫(kù)的使用相同的，不是嚴(yán)重的問(wèn)題，只是因?yàn)檫@些文件或目錄不存在而已。解決的方法就是把這些目錄和文件在twpol.txt中排除后，再生成tw.pol，最后再初始化數(shù)據(jù)庫(kù)即可。當(dāng)然，如果您已經(jīng)把前面的工作都做完了，也可以參考下面的方式更新數(shù)據(jù)庫(kù)的內(nèi)容。檢查生成的報(bào)告會(huì)放在：ls /var/lib/tripwire/report/-20070615-040442.twr四、更新數(shù)據(jù)庫(kù)1、查看報(bào)告twprint -print-report -twrfile /var/lib/tripwire/report/-20070615-040442.twr報(bào)告是加密的，并且以生成時(shí)間排序。2、更新數(shù)據(jù)庫(kù)更新數(shù)據(jù)庫(kù)的原因有很多，通常都是因?yàn)槲覀円阎到y(tǒng)中某些文件被正確的修改，所以需要反應(yīng)到數(shù)據(jù)庫(kù)中，以便今后排除這些文件。要更新數(shù)據(jù)庫(kù)，必須依賴最新的檢測(cè)報(bào)告：# ls -lt /var/lib/tripwire/report/hostname-*.twr|head -1-rw-r-r- 1 root root 14646 Jun 15 04:08 /var/lib/tripwire/report/-20070615-040442.twr更新：tripwire -update -twrfile /var/lib/tripwire/report/-20070615-040442.twr更