Tripwire监控和检测修改的文件
2018-07-11Tripwire是一个免费的开源入侵检测系统(IDS)。 它是用于监视和警告系统上文件更改的安全工具。
1、安装yum -y install tripwire
2、tripwire-setup-keyfiles
Tripwire使用2个关键文件。
- site-key:它用于保护Tripwire配置。 因此,除非我们再次生成配置,否则对tripwire配置所做的任何更改都不会生效,我们会提示您输入“site-key”密码。
- local-key:它用于验证tripwire二进制文件。 当我们想要更新tripwire系统数据库时,我们需要运行tripwire命令,并且会提示我们输入'local-key'的密码。
- Wrote configuration file: /etc/tripwire/tw.cfg
- Wrote policy file: /etc/tripwire/tw.pol
- A clear-text version of the Tripwire policy file: tripwire配置定义的目录和文件
/etc/tripwire/twpol.txt - Now run "tripwire --init" to enter Database Initialization Mode.
3、tripwire --check
tripwire --check /bin/cp /usr/tmp 若Tripwire的策略中包括以下规则 /usr/tmp -> $(SEC_INVARIANT) ;
tripwire --check --interactive 对比指纹数据库,检查系统是否进行了改动,最后会显示报告清单
4、twadmin -m P /etc/tripwire/twpol.txt使用twadmin命令重新生成并签署配置。
修改/etc/tripwire/twpol.txt文件,自定义需要监控的文件
# cd /etc/tripwire
# twadmin --print-polfile > twpol.txt
# twadmin --print-cfgfile > twcfg.txt
5、tripwire --test --email email@gmail.com
6、计划任务
0 0 * * * tripwire --check --email-report
7、策略文件twpol.txt和配置文件twcfg.txt的修改可以利用常见的文本编辑器来完成。对于修改过的策略文件twpol.txt和配置文件twcfg.txt文件,需要对他们进行再次签名:
# twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg --site-keyfile site.key /etc/tripwire/twcfg.txt
# twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg --site-keyfile site.key /etc/tripwire/twpol.txt
然后,我们需要重新初始化数据库:
# tripwire --init
# rm twcfg.txt twpol.txt
8、参考
http://www.linuxfromscratch.org/blfs/view/svn/postlfs/tripwire.html
https://www.tripwire.com/
分类:Linux | 标签: linux |