Linux系统安全讲义-IDSTripwire档案比对工具精编版[4页].docx

《Linux系统安全讲义-IDSTripwire档案比对工具精编版[4页].docx》由会员分享，可在线阅读，更多相关《Linux系统安全讲义-IDSTripwire档案比对工具精编版[4页].docx（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐Linux系統安全講義-IDS:Tripwire檔案比對工具一、Tripwire 簡介1. Tripwire是一套比對檔案/目錄完整性的安全工具，經由比對現存檔案與先前所建立的基準資料庫(baseline database)，如果發現有任何資料受到新增、刪除或修改，Tripwire可即時通知系統管理員，並產生彈性的可讀式報告；管理員可依此評估是否要進行後續檢驗或系統還原的工作。 2. Tripwire RPM 版的相關檔案如下：程式檔：(在 /usr/sbin/)tripwire(#man tripwire)：提供五大模式維護工作，(1)資料庫初始化 (2)完整性檢驗 (3)資料庫

2、更新 (4)原則更新 (5)郵件測試twadmin(#man twadmin)：可產生Tripwire所使用的設定檔，原則檔及金鑰檔，也用來做編碼及簽章twprint(#man twprint)：以純文字列出資料庫和報告檔內容siggen(#man siggen)：可檢視檔案的雜湊編碼資料設定檔：/etc/tripwire/tw.cfg -(twcfg.txt-未加密)原則檔：/etc/tripwire/tw.pol -(twpol.txt-未加密)資料庫：/var/lib/tripwire/$(HOSTNAME).twd報告檔：/var/lib/tripwire/report/$(HOSTN

3、AME)-$(DATE).twr金鑰檔：分為site key和local key；site key可用在多套系統上，是用來保護設定檔和原則檔；local key是針對個別主機使用的，例如每個主機的資料庫(/etc/tripwire/site.key和 $(HOSTNAME)-local.key3. 下載軟體：tar.gz: (下載tripwire-2.3.1以上版本)rpm: 搜尋 tripwire (RedHat 光碟第二片也有)二、實做步驟1. RPM檔安裝後(#rpm -ivh tripwire-xxx.rpm)，需要再執行 /etc/tripwire/twinstall.sh#/etc

4、/tripwire/twinstall.sh twnotfound.txt編寫一個shell script (twfilter.sh) (參考來源:網中人)#!/bin/bashorg_file=/etc/tripwire/twpol.txtnot_file=twnotfound.txttmp_file=tmp.txtnew_file=new.txtcat $org_file $tmp_filefor I in $( cat $not_file | cut -d : -f 2 ); do grep -v $i $tmp_file $new_file cat $new_file $tmp_fil

5、edonemv $org_file $org_file.bakcat $new_file $org_filerm -f $new_filerm -f $tmp_file# -END Script-# #sh twfilter.sh /etc/tripwire/twpol.txt ，改完再更新回加密版#/usr/sbin/tripwire -m p /etc/tripwire/twpol.txt #/usr/sbin/tripwire -m c /etc/tripwire/twcfg.txt ，改完再更新回加密版#/usr/sbin/twadmin -m F -site-keyfile /etc/tripwire/site.key twcfg.txt#rm twcfg.txt三、Tripwire運作原理圖解最新精品资料整理推荐，更新于二二一年一月十八日2021年1月18日星期一17:52:16