还有一个更好的自动定时方法就是从网络上的另外一台设备发出命令,这样入侵者的行为无法影响tripwire对系统对本地网络的定时完整性审查。在另外一台设备上,可以增加以下语句,其中“target-host”应该是目标系统的主机名称:
0 2 * * * ssh -n -l root target-host /usr/sbin/tripwire .check
在这两种情况都存在使用已经被破坏的程序的可能。因此,最好将tripwire二进制文件以及密钥文件刻在CD-R上,应从CD-R上运行程序。你需要在签署之前按这个方法编辑twcfg.txt。如果CDROM在/mnt/cdrom目录下,应该对/etc/twcfg.txt文件做如下修改:
ROOT=/mnt/cdrom
SITEKEYFILE=/mnt/cdrom/site.key
LOCALKEYFILE=/mnt/cdrom/host-local.key
签署修改完毕的文件,然后生成tripwire数据库,然后取出CD-R。唯一的不同就是指明的site密钥的存储位置不一样(以下命令假设你正处于/etc/tripwire目录下):
# twadmin --create-cfgfile --cfgfiletw.cfg --site-keyfile/mnt/cdrom/site.key twcfg.txt
当操作完成,放入刻有tripwire二进制文件的光盘,并从光盘运行tripwire进行检查,检查完毕再取出光盘,然后另外保存。如果系统会定期自动检查,可以将光盘留在光驱中,并将执行文件路径/usr/sbin/tripwire.修改为/mnt/cdrom/tripwire。
只有密钥文件(site密钥和本地密钥)以及可以自己运行的二进制文件需要刻在不可写介质中进行保存。因为对配置和政策文件的修改无需使用site密钥 和本地密钥签署,会被检查发现,所以保存在光盘中更为安全。
升级tripwire数据库
文件系统中的文件会改变,而tripwire会发现这种变化。有些变化是必需进行的。如果你修改某个文件,tripwire会象发现入侵者一样进行报告。关键在于了解那些改变是应该发生的,那些不是,并及时更新数据库,这样tripwire就不会对应该进行的修改进行持续的汇报。当指出那些是经过授权的变化,tripwire就可以用来确保除经过授权的变化以外,没有其他修改发生。如果不升级数据库,这样下次执行审查任务时就不会在对这些变化进行报告。以下命令可以更新tripwire的数据库:
# LASTREPORT=`ls -1t /var/lib/tripwire/report/host-*.twr |head -1`
# tripwire --update --twrfile "LASTREPORT"
Tripwire可以对全网进行集中文件系统完整性审查,也可以用于审查Windows VFAT文件系统(FAT16和FAT32文件系统)的完整性。如果你的本地系统不是极端的需要经常改变文件系统,至少你应该在使用一种tripwire这样的工具,来帮助你遭受恶意入侵时能够及时得知消息。(责任编辑:王叶)
查看本文的国际来源
京公网安备 11010802021500号