下文件系统完整性检查的软件工具,本篇文章将为大家演示一下Linux系统中使用Tripwire来保护文件系统。
Tripwire简介:
当服务器遭到黑客攻击时,在多数情况下,黑客可能对系统文件等等一些重要的文件进行修改。对此,我们用Tripwire建立数据完整性监测系统。虽然 它不能抵御黑客攻击以及黑客对一些重要文件的修改,但是可以监测文件是否被修改过以及哪些文件被修改过,从而在被攻击后有的放矢的策划出解决办法。
Tripwire的原理是Tripwire被安装、配置后,将当前的系统数据状态建立成数据库,随着文件的添加、删除和修改等等变化,通过系统数据现 状与不断更新的数据库进行比较,来判定哪些文件被添加、删除和修改过。正因为初始的数据库是在Tripwire本体被安装、配置后建立的原因,我们务必应 该在服务器开放前,或者说操作系统刚被安装后用Tripwire构建数据完整性监测系统。
安装 Tripwire
要 Tripwire,我们需要先下载并安装它。Tripwire 适用于几乎所有的 Linux 发行版。你可以从 下载一个开源版本,并如下根据你的 Linux 版本进行安装。
Debian 和 Ubuntu 用户可以使用 apt-get 直接从仓库安装 Tripwire。非 root 用户应该输入 sudo 命令通过 apt-get 安装 Tripwire。
sudo apt-get updatesudo apt-get install tripwire
CentOS 和其他基于 RPM 的发行版使用类似的过程。为了最佳实践,请在安装新软件包(如 Tripwire)之前更新仓库。命令 yum install epel-release 意思是我们想要安装额外的存储库。 (epel 代表 Extra Packages for Enterprise Linux。)
yum updateyum install epel-releaseyum install tripwire
此命令会在安装中运行让 Tripwire 有效运行所需的配置。另外,它会在安装过程中询问你是否使用密码。你可以两个选择都选择 “Yes”。
另外,如果需要构建配置文件,请选择 “Yes”。选择并确认站点密钥和本地密钥的密码。(建议使用复杂的密码,例如 Il0ve0pens0urce 这样的。)
建立并初始化 Tripwire 数据库
接下来,按照以下步骤初始化 Tripwire 数据库:
tripwire --init
你需要提供本地密钥密码才能运行这些命令。
使用 Tripwire 进行基本的完整性检查
你可以使用以下命令让 Tripwire 检查你的文件或目录是否已被修改。Tripwire 将文件和目录与数据库中的初始快照进行比较的能力依赖于你在活动策略中创建的规则。
tripwire --check
你还可以将 -check 命令限制为特定的文件或目录,如下所示:
tripwire --check /usr/tmp
另外,如果你需要使用 Tripwire 的 -check 命令的更多帮助,该命令能够查阅 Tripwire 的手册:
tripwire --check --help
使用 Tripwire 生成报告
要轻松生成每日系统完整性报告,请使用以下命令创建一个 crontab 任务:
crontab -e
之后,你可以编辑此文件(使用你选择的文本编辑器)来引入由 cron 运行的任务。例如,你可以使用以下命令设置一个 cron 任务,在每天的 5:40 将 Tripwire 的报告发送到你的邮箱:
40 5 * * * usr/sbin/tripwire --check
无论你决定使用 Tripwire 还是其他具有类似功能的完整性检查程序,关键问题都是确保你有解决方案来保护 Linux 文件系统的安全。
以上就是为各位朋友分享的相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多等着你!
微信扫一扫打赏
支付宝扫一扫打赏
.png)
.jpg){kind=link}