Ellenőrzése a rendszer integritását keresztül tripwire
Arra a kérdésre, a használati gyakoriság tripwire, minden attól függ, milyen fontos az információ és a felhasználók száma, akik hozzáféréssel rendelkeznek, hogy a fogadó. Ideális esetben a kettős ellenőrzési rendszer integritását be kell jelentkeznie a napi szokás, mint például e-maileket olvasó. Kevesebb, mint a integritásának ellenőrzését a rendszer, annál több változás lesz, hogy tárja fel.
tripwire jön néhány segédprogramok használt létrehozni és fenntartani egy adatbázist a Tripwire, a konfigurációs fájl és politikai fájlt. A csapat férfi twintro következőket jeleníti meg:
tripwire (8) segítségével egy adatbázis létrehozása tripwire, és ellenőrizze a fájlrendszer integritását.
twadmin (8): létrehozhat, titkosítani és lebonyolítása házirend miatt, konfigurációs fájlok, és a legfontosabb fájlokat.
twconfig (4): leírja a konfigurációs fájl
twpolicy (4) leírja a politika fájlt, és meghatározza azokat a fájlokat és könyvtárakat, valamint a szkennelési módszer.
A telepítés során az alapértelmezett adatbázis jön létre a / var / db / tripwire. Ez tárolja a fájlokat:
Tisztázni kell, hogy az adatbázis inicializált paraméterek használatával a politika fájlt. Az inicializálás során tripwire teszi a „pillanatfelvétel” minden a rendszerfájlokat. A rendszeres ellenőrzés a rendszer integritását, meg lehet nyomon követni, hogy mely fájlok változtak, és miért.
A telepítés során az adatbázist inicializálja a standard biztonsági politika. Integritásának ellenőrzésére az adatbázis kell használni a parancsot
Report fájlnév függ a gazda nevét és létrehozásának időpontját a jelentést.
Itt látható a jelentés tripwire:
A jelentés egy rövid leírást ad a számos új, törölt és módosított fájlokat a legutóbbi vizsgálat óta rendszert. Ebben az esetben ez adunk tripwire fájl megváltozott fájlt root`a könyvtárban. Az alábbiakban egy jelentést a módosított fájlokat:
Végén a jelentést kap egy listát az összes hibát. Ebben az esetben - ez a Kerberos tapasztalt hibákra telepítésekor tripwire.
A fenti jelentés egy példa, és nem mutat semmilyen rendellenességet sem. Megismételtük a tesztet újra, miután:
- Hozzon létre egy új felhasználót a rendszer
- Eltávolítása a csúcs bináris fájlt
Ez a jelentés azt mutatja változások a rendszerben. A vonatkozó adatok:
Figyeljük meg, hogy hány esemény történt a rendszer, ha a felhasználó adunk. Változások történtek a passwd és master.passwd fájlokat csoport adatbázis és a másolatokat, adatbázisok és pwd.db spwd.db.
Mivel a jelentés tartalmazza a dátumot és az idő változik, akkor lehet kezdeni a vizsgálatot alapján őket. Kezdetnek, akkor vizsgálja meg a naplókat vagy interjú az emberek megpróbálják kitalálni, hogy ki lehetne dolgozni a rendszer egy bizonyos ideig.
Alapértelmezésben minden változás kijelölt x. Ez azt jelenti, hogy a változások nem megismételhető, ha egy új rekordot hoz létre.
általános szerződési használt addig. A következő példa bemutatja néhány változás a politikai fájlt, hogy információt kapjon a hibákat a jelentésben tripwire
Amikor utstanovke Tripwire, az alapértelmezett házirend fájl jött létre /usr/local/etc/tripwire/tw.pol. Ezt a fájlt használják tripwire ellenőrzése közben az adatbázist. Nem lehet közvetlenül szerkeszteni, mert a fájl titkosított és aláírt, bár van egy szöveges fájlt /usr/local/etc/tripwire/twpol.txt. Szükséges, hogy bármilyen változás van a szöveges fájl, majd a segédprogrammal, hogy a változások a politikai fájlban.
Kezdjük vizsgálatával tartalmát a / usr / local / etc / tripwire:
Megjegyezzük, hogy a politika fájlt (tw.pol) és konfigurációs fájl (tw.cfg) olyan típusú adatokat. Mindegyikük rendelkezik ennek megfelelő formában egy szöveges fájl (egy példányát a politika fájl - twpol.txt.bak).
A legjobb dolog, integritásának ellenőrzése után azonnal politikai változást, mert a konfliktusok lehetőségét a bázis tripwire adatok változása miatt néhány fájlt, mivel az utolsó ellenőrzés. Bár ez a módszer azonban kényelmetlen, ez gyakorlatilag az egyetlen megoldás, amely lehetővé teszi, hogy ne változtasson más fájlokat felülírni politika fájlt. Abban az esetben, egy sikertelen frissítési politika fájlt, akkor ellenőrizni kell a rendszer integritását újra, majd próbálja újra frissíteni a házirend fájlt.
Lehet, hogy egy szintaktikai hiba, ha nincs lehetőség -S site.key.
Arra a kérdésre, a használati gyakoriság tripwire, minden attól függ, milyen fontos az információ és a felhasználók száma, akik hozzáféréssel rendelkeznek, hogy a fogadó. Ideális esetben a kettős ellenőrzési rendszer integritását be kell jelentkeznie a napi szokás, mint például e-maileket olvasó. Kevesebb, mint a integritásának ellenőrzését a rendszer, annál több változás lesz, hogy tárja fel.
Elővigyázatossági intézkedéseket kívánatos szöveges konfigurációs fájlokat és a jelentések tárolása egy merevlemez és a cserélhető adathordozókon, mint a floppy lemezek, CD-k és kazetták.