Bog bos Tripwire működés elvét, telepítés és konfiguráció
konfigurációs fájlok és politikai védi az írási közös kulcsot, és az adatbázis és jelentések - helyi billentyűt. Olvasni elég szabad nyilvános kulcsot, akkor köteles rögzíteni a privát kulcs jelszót védett. A téveszme nem szükséges -, ha a támadó root jogot szerez szükséges adatbázis módosításokat, akkor is újra az összes fájlt a Tripwire újra és kapni fog egy e-mail üzenetet, hogy minden rendben van, amíg meg nem találja, hogy a jelmondat nem tudja megváltoztatni az adatbázisok vagy szabály alap!
A megváltozott fájlok alátámasztani utótaggal bak.
A készítmény tartalmaz egy Red Hat 7.2 tripwire-2.3.1-5 csomagolás, amely program az / usr / sbin: Siggen, Tripwire, twadmin, twprint (nonszensz összegyűjtjük nélkül, bármilyen típusú megosztott könyvtárak és amelyek mérete 2 MB mindegyik); konfigurációs fájlok: twcfg.txt, twpol.txt, twinstall.sh (/ etc / tripwire); konfigurációs fájl cron: /etc/cron.daily/tripwire-check; Dokumentáció: /usr/share/doc/tripwire-2.3.0/, twconfig.4.gz, twpolicy.4.gz, twfiles.5.gz, siggen.8.gz, tripwire.8.gz, twadmin.8. gz, twintro.8.gz, twprint.8.gz; DB-jelentések: / var / lib / tripwire. Valamilyen oknál fogva ez nem tartalmazza a használati útmutatót.
Az első lépés az, hogy módosítsa szabvány (mellékelt) konfigurációs fájlok (/etc/tripwire/twcfg.txt) és szabályrendszer (/etc/tripwire/twpol.txt). Szabálybázis szállítási lehet megtekinteni csak példaként! Minden adott rendszer igényli a saját szabály alap, egyébként ez mind fontos a rendszer fájlokat ellenőrizzen és meg kell adni a felesleges figyelmeztetéseket.
Kezdés /etc/tripwire/twinstall.sh. amely kéri a jelmondatot, és létrehozhat egy kulcs fájlok (/etc/tripwire/site.key és / etc / tripwire / host -local.key), ami a szöveges fájlokat, és jelentkezzen be a konfigurációs fájlt és szabályrendszer.
Az adatbázis létrehozásához (kérdezze a helyi jelszót lehet hibaüzeneteket, mert a szabály alap célja a teljes telepítés)
Tripwire --init [--no-a titkosítási]
Végezze tárgyalás teszt (ugyanaz a csapat készül /etc/cron.daily/tripwire-check, minden hibaüzenet megismételni; DB legalább egy módosítást - adunk az adatbázis file):
tripwire --check
Miután megcsodálta üzenetekre a hiányzó fájlokat (twpol.txt mellékelt tervezték teljes telepítés), és meg kell kezdeni a változást /etc/tripwire/twpol.txt
tripwire --update-politika --secure üzemmódban alacsony /etc/tripwire/twpol.txt
Lehet, hogy ismételje meg az eljárást többször, amíg meg nem jön le, akkor rögzíteni kell a rendszer állapotát:
tripwire --check --interactive
További ellenőrzéseket fog bekövetkezni naponta automatikus üzemmódban. És ha meg a konfigurációs fájlban GLOBALEMAIL és hozzáadjuk --email-jelentés a legfontosabb, hogy a csapat fut tripwire a /etc/cron.daily/tripwire-check, a jelentéseket küldeni postán.
További kulcsokat lehet használni, ha hívja a program:- -?
- --segít
- --segítse az összes
- --súgó mód
- --változat
- --verbose (vagy -v)
- --csendes (vagy -s)
- --polfile Polis fájl
- --cfgfile fájl konfiguráció
- --hely keyfile fájl általános kulcs
- --helyi keyfile-fájl helyi kulcs
- --dbfile fájl adatbázis
- --helyi jelmondat jelszót (Nem ajánlom használni, mert látható keresztül ps parancs)
- --webhely jelszót jelszót (Nem ajánlom használni, mert látható keresztül ps parancs)
Ellenőrzése a rendszer integritását (szöveges jelentés a szabvány kimenetre, ha nincs megadva a kulcsot a -no-tty-kimenet; létrehoz egy fájlt a jelentést, amely titkosított, kap egy kulcsot --signed-jelentés nem változik az adatbázisban):
Tripwire --check [--twrfile fájlnév-to-jelentés] [--email-jelentés [--email-report-szint szint]] objektum>
- --súlyossági szint (csak a vonatkozó szabályokról a megadott súlyossági szintet vagy magasabb)
- --szabály neve neve (csak ezt a szabályt)
- --figyelmen kívül tulajdonságok listája (vessző)
- 1 - fájl (ok) került
- 2 - fájl (ok) el lett távolítva
- 4 - fájl (ok) megváltozott
- 8 - nem ír egy jelentést
Ha az adatbázis, hogy az tükrözze a jelenlegi dolgok állása az interaktív módban (ugyanaz, mint a Tripwire --check --interactive):
tripwire --- frissítés --twrfile fájlnév-to-jelentés
Ha az adatbázis, hogy az tükrözze a jelenlegi dolgok állása az automatikus üzemmódban:
tripwire --- frissítse -a --twrfile fájlnév-to-jelentés
A konfigurációs fájl: /etc/tripwire/tw.cfg. Ez alatt kódolt formában és aláírt. Alakítani szöveges formában, a következő parancsot:
egy szöveges fájl, hogy távolítsa el azonnal.
Kötelező változók:- Polfile = /etc/tripwire/tw.pol (fájl neve a politika)
- DBFILE = /var/lib/tripwire/$(HOSTNAME).twd (fájl neve az adatbázisban)
- REPORTFILE = /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr (fájlnevek a jelentések)
- SITEKEYFILE = /etc/tripwire/site.key (megosztott kulcs)
- LOCALKEYFILE = /etc/tripwire/$(HOSTNAME)-local.key (helyi) gombot
Alapú feltételek: /etc/tripwire/tw.pol. Ez alatt kódolt formában és aláírt. Alakítani szöveges formában, a következő parancsot:
egy szöveges fájl, hogy távolítsa el azonnal. Ezután azt szeretnénk, hogy az adatbázis létrehozása újra.
Ha a szabály bázis változik egy meglévő adatbázisból, átalakítani, hogy egy adatbázis és szabályrendszer egy lépésben, hanem meg kell futtatni twadmin
Ugyanakkor információkat gyűjtenek a jelenlegi állapotában a fájlrendszer és a magas biztonsági mód jelenlétében rendellenességeinek a régi szabályok, amelyek szintén megsértését az új szabályok sorolja őket (a stderr), és az adatbázis nem változik.
Az alapvető eleme a szabálybázis vannak szabályok (szabály), amely a rendszerben definiált objektum (fájl vagy könyvtár, fájl örökli ezt a szabályt a könyvtárból, de nem rekurzív átlépi a határt a fájlrendszer) meghatározza mérhető tulajdonságai (nem több, mint egy szabály objektum):
Az objektum neve a teljes nevét, a fájl (könyvtár). Terek figyelmen kívül hagyni, ha nem zárja a nevet idézőjelbe. Idézet figyelmen kívül hagyja, hacsak idézőjelbe, és nem előzi meg backslash. Bármilyen speciális karaktert (!<>> () ,; = $ # | \ + „\ n \ t) is el kell idézőjelbe.
tulajdonságait a maszk meghatározza, hogy mely objektum tulajdonságait ellenőrizni fogják. Minden ingatlan saját levelét. A maszk nem lehet üres. A plusz jel előtt a levél tartalmaz egy ellenőrzést mínusz jel - kikapcsol. Ha nincs jele előtt a levél, ez úgy értendő ezen szabály korábbi megjelölés vagy a plusz jel, ha a karakterek nem voltak egyáltalán. Ha a levél az ingatlanok hiányzik, ellenőrizze a tulajdonságait le. Ha a levél jellemzőit előfordul többször is, az utolsó előfordulást használja. Feldolgozta a következő tulajdonságokkal rendelkezik:- p - hozzáférési jogok
- i - inode
- n - hard linkek száma
- u - uid
- g - gid
- t - a fájltípust
- s - méret
- d - lemez eszköz számot, amely a tárolt megfelelő inode
- r - az eszköz ügyszáma az eszköz
- b - a blokkok száma
- m - a módosítás
- c - létrehozása / módosítás inode
- l - várható, hogy a fájl tovább fog nőni; ha csökkent, ez sérti a
- Egy - Hozzáférés ideje (kompatibilis CMSH, mert összegének kiszámításához el kell olvasni egy fájlt, lépjen be a tartalmát egy könyvtárba változik az idő, hogy hozzáférni)
- C - checksum CRC-32, POSIX 1003.2
- M - MD5 ellenőrző
- S - ellenőrző összeg SHA
- H - ellenőrző összeg HAVAL
- @@ rész neve - Unix feldolgozása csak szabályokat az első szakaszban a neve FS; Ha a szakasz nincs jelen, minden a szabályok kerülnek feldolgozásra; szakaszban meghatározott GLOBAL globális változók
- @@ ifhost hostname<|| имя-хоста> - használja a szabályok csak a megadott host (s); feltételek ágyazhatók
- @@ mást
- @@ endif
- @@ nyomtatásához idézett karakterlánc - a szabvány kimenetre
- @@ hiba idézett karakterlánc - a szabványos kimenet és teljesítési állapot 1
- @@ végén - minden további szöveges fájl figyelmen kívül hagyják; Ez nem lehet használni, a csoporton belül, vagy a feltételes mondat
var-név = érték;
A változó neve tartalmazhat betűket (nagybetűk), számok és jelek "_ + - @:% ^.". Ha az érték szóközt vagy kontroll charset értéket meg kell idézőjelek közé. Változó helyettesítés megengedett bármely helyen, ahol a szintaxis támaszkodik vonal (beleértve részeként a bal oldalon a szabály), és a következőképpen fejezhető ki:
$ (Változónév)
Előre definiált változók (nem bírálhatják)
- ReadOnly = + pinugsmtdbCM-raclSH (feltételezzük, hogy a fájl tartalmát nem változik)
- Dinamikus = + pinugtd-rsacmblCMHS (állítólag gyakori változások a fájlok tartalmát, például a / home)
- Növekvő = + pinugtdl-rsacmbCMSH (például, folyóiratok)
- IgnoreAll = -pinusgamctdrblCMSH (ellenőrizze csak a jelenléte vagy hiánya a fájl)
- IgnoreNone = + pinusgamctdrbCMSH-l (használjuk a további tervezési saját maszk: $ (IGnoreNone) -ar)
- Eszköz = + pugsdr-intlbamcCMSH (fájlok, amelyek nem nyitott)
0. szint: egysoros jelentést. Szintén megjelenik a syslog és a fejléc Tárgy: minden jelentést küldött levélben.
TWReport hostadata-név-és-idő v: a sértések száma S: max A réteg: hozzáadott R: törölve C: megváltozott
1. szint: A listát a nevét sérült fájlok formájában, könnyen szétszerelhető helyreállítási program, stb Minden sor áll a kulcsszó (módosulhatnak), a vastagbél és a fájl nevét.
2. szint: összefoglaló jelentés, a lista a jogsértések a nevét a szabályok listáját, új, változott és a törölt fájlokat.
3. szint: összefoglaló jelentés, a lista a jogsértések a nevét a szabályok, a listát a hozzáadott és törölt fájlokat, a várható és tényleges tulajdonságait módosított fájlt.
4. szint: összefoglaló jelentés, a lista megsértése megjelölésével szabályainak nevek listáját hozzá, megváltozott, és a törölt fájlokat, részletes jelentést az egyes csatolt fájl (összes tulajdonságok), az egyes megváltozott fájlt (összes ellenőrizhető várt és ingatlanok), minden távoli fájl (összes ellenőrzött a várható tulajdonságok).
A jelmondat változik csak együtt a változás a kulcsot, így változtatni a jelszót, be kell dekódolni az összes fájlt, ezáltal új kulcsokat, majd titkosítja a fájlokat. Ha elfelejtette a jelszót, vagy távolítsa el / kár / változtatni a gomb fájl, a titkosított fájlok (konfigurációs politika, az adatbázis (és talán jelentések) nem lesz elérhető). Mellesleg, a titkosítás nem akadályozza a hacker törölje a fájlt, beleértve a Tripwire-adatbázis, így a használata tripwire nem teszi semmissé a kötelezettség mentés.
Keresse meg, melyik kulcs titkosításához használt fájlt (ha egyáltalán van):
Vegye ki a titkosítást (a jelszót kérnek, a fájl bináris formátumban):
Hozzon létre egy új kulcsot: