tripwire简单介绍tripwire通过配置可以调整范围只审查文件系统中的指定部分,这样可以为文件系统的不同部分指定不同的扫描级别,或者为tripwire数据库分别单独增加文件或者将某部分排除在外。这种功能在生产应用环境中tripwire的使用,或者在不那么随便的情况下使用tripwire功能时将会非常有用。
当大部分系统管理员考虑系统安全时,往往想到防火墙、网络配置、服务器管理以及用户政策等。他们很少有人会考虑到相对主动的防御手段,如rootkit检查等。尽管如此,对于真正具有安全意识的系统管理员来说文件系统完整性审查是非常重要的工作。这种完整性审查的工作包括追踪系统文件系统状态,定期检查未经过授权的变化等。当发现可以变化时,就应该马上判断这种变化是否由入侵引起,如果需要,要采取损失控制措施。尽管损失控制措施可能需要时间甚至成本很高,但是总要比事态严重到无法控制要好得多。
目前所知Linux和UNIX系统下文件系统完整性最好的是Tripwire。市场上有商业版本的Tripwire软件,不过这里要讨论的是如何使用开放源代码的版本(一般称为tripwire,字头不大写,以区别商业版)。开源tripwire工具是一款功能强大的工具,是安全系统管理的重要部分。很少有与互联网相连接的Linux系统没有安装tripwire。如果你不知道是否该装tripwire ,那么请你安装它。
Tripwire工具的内容其实非常简单。它通过对文件系统中需要对非法改动做检查的部分进行定义,生成文件系统“镜像”,并保存在数据库中。Tripwire政策不仅仅对快照做出定义,还会提供一套确定未经授权或者可改变的标准。当tripwire对文件系统进行审查时,会使用政策来审查文件系统当前状态并与快照进行比对,然后对所发现的情况生成报告。一般常见情况下,tripwire会每天运行一次,通常会在夜间进行,以避免有人使用系统干扰审查的进行。
使用tripwire第一次生成镜像应该是在系统刚刚安装完毕,还没有与网络连接,也没有任何用户或者其他不能完全信任的数据资源接触之前进行。如果使用tripwire恢复系统,应该确信所使用的tripwire数据是在系统运行第一天所得到的资料,以保证不会误用已经遭到入侵的系统的资料。
京公网安备 11010802021500号