Tripwire-portable-0.9

Введение в Tripwire

Пакет Tripwire содержит программы, используемые для проверки целостности файлов системы.

Информация о пакете

Зависимости Tripwire

Опционально

MTA (смотрите Глава 21, Программы почтовых серверов)

Установка Tripwire

Откомпилируем Tripwire запуском следующих команд:

sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg && ./configure --prefix=/usr --sysconfdir=/etc/tripwire && make

А теперь, как пользователь root:

make install && cp policy/*.txt /usr/share/doc/tripwire

Конфигурация по умолчвнию использует локальный MTA. Если у вас не установлен MTA и вы не хотите его устанавливать, то измените install.cfg для использования SMTP сервера.

Описание команд

sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg: Эта команда скажет пакету установить базу данных прграммы и отчеты в /var/lib/tripwire.

make install: Эта команда создает ключи безопасности Tripwire вместе с установкой бинарников. Имеется два ключа: ключ сайта и локальный, сохраненные в /etc/tripwire/.

cp policy/*.txt /usr/share/doc/tripwire: Эта команда установит документацию.

Конфигурация Tripwire

Файлы конфигурации

/etc/tripwire/*

Конфигурационная информация

Tripwire использует файл политик для определения того, целостность каких файлов проверена. Файл политик по умолчанию (/etc/tripwire/twpol.txt) предназначен для установки в Redhat и будет требовать обновления для вашей системы.

Файлы политик должны быть изменены для каждого индивидуального дистрибутива и/или установки. Некоторые файлы политик могут быть найдены ниже:

http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Проверяет целостность всех файлов http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Файл политик для базовой системы LFS 3.0 http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Файл политик для системы SuSE 7.2

Скачайте файл политик, который вы хотите попробовать, скопируйте его в /etc/tripwire/ и используйте вместо twpol.txt. Хотя рекомендуется создавать свой собственный файл политик. Возьмите идеи из предидущих примеров и прочтите /usr/share/doc/tripwire/policyguide.txt для дополнительной информации. twpol.txt является хорошим файлом для начинающих, поскольку он будет отмечать все изменения в файловой системе и может быть даже использован для слежения за изменениями при деинсталяции программ.

После перемещения вашего файла политик в /etc/tripwire/ вы можете начинать шаг конфигурации:

twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \ /etc/tripwire/twpol.txt && tripwire --init

Информация по использованию

Для использования Tripwire, после создания файла политик для запуска отчета используйте следующую команду:

tripwire --check > /etc/tripwire/report.txt

Просмотрите вывод для проверки целостности ваших файлов. Автоматический отчет о целостности может быть предоставлен использованием легкости cron для запусков по графику.

Пожалуйста заметьте, что после запуска проверки целостности вы должны проверить отчет (или почту) и затем изменить базу данных Tripwire для отображения измененных файлов вашей системы. Это означает, что Tripwire не будет постоянно сообщать вам, что у файлов, которые намеренно изменены вами, нарушена безопасность. Чтобы это сделать, сначала выполните ls -l /var/lib/tripwire/report/ и заметьте имя самого нового файла, который начинается с linux- и заканчивается на .twr. Этот зашифрованный файл был создан во время последнего создания отчета и необходим для обновления базы данных Tripwire вашей системы. Затем наберите следующую команду, сделав подходящие подстановки вместо [?]:

tripwire --update -twrfile \ /var/lib/tripwire/report/linux-[???????]-[??????].twr

Вы будете помещены в vim с копией отчета перед вами. Если все изменения были хорошими, то просто наберите :x и после ввода вашего локального ключа база данных будет обновлена. Если есть файлы, предупреждения о которых вы все еще хотите оставить, удалите 'x' перед именем файла в отчете и наберите :x.

Изменение файла политик

Если вы недовольны вашим файлом политик и хотели бы изменить его или использовать новый, измените его, а затем выполните следующую команду:

twadmin --create-polfile /etc/tripwire/twpol.txt && tripwire --init

Содержание

Установленные программы: siggen, tripwire, twadmin и twprint.
Установленные библиотеки: нет
Установленные директории: /etc/tripwire, /usr/share/doc/tripwire и /var/lib/tripwire

Короткое описание

siggen

утилита, собирающая сигнатуры, которые отображают перепутанные значения функций для описанных файлов.

tripwire

основной файл программы проверки целостности.

twadmin

средство, используемое для выполнения некоторых административных функций, связанных с файлами Tripwire и опциями конфигурации.

twprint

печатает базу данных Tripwire и файлы отчетов в текстовом формате.

Последнее обновление 2005-02-11 07:07:57 -0700