现在,我们需要把以上命令找出的SUID和SGID文件加入到Tripwire的/策略文件中去。除此之外,我们还要把所有用户home目录下的初始文件也纳入监视的范畴。主要包括以下文件:
1).bashrc、.profile、.bash_profile、.cshrc、kshrc、.login等
2)bash、csh以及ksh登录之后的初始化命令或者脚本
3).forward:告诉/usr/lib/sendmail把邮件转发到某些地址
4).rhosts:可以使用rsh登录到本帐户的远程主机名
5).xinitrc、.Xauthority、Xdefault等X窗口系统的一些重要文件
在创建Tripwire的特征码数据库之前,还有一件事情要做,就是检查.netrc和.rhosts文件的权限是否是600。修改完策略文件后存盘。最后使用twadmin命令根据已编辑的文本文件生成一个加密的策略文件。最后,策略文件的文本文件要删除掉,否则该文件的内容易被察看。
twadmin --create-polfile twpol.txt |
安装完毕后,该文件已存在,因此不必再重新创建。
4.生成基准数据库
配置文件和策略文件都编辑和生成好了之后,就应该根据配置文件的规则生成基准数据库。基准数据库在Tripwire安装完毕后生成一次即可。我们使用Tripwire命令来生成基准数据库。
tripwire --init |
基准数据库生成时,Tripwire会提示输入local key,对其进行高强度的加密,以防止对文件内容的非法改变。
5.运行完整性检查
基准数据库生成完毕之后,我们可以使用tripwire命令随时进行完整性检查了:
tripwire --check |
进行检查时可以指定检查报告的存贮位置:
tripwire --check --twfile/var/lib/report/report.twr |
进行检查时也可发送Email报告结果:
tripwire --check --email-report |
tripwire --check --email-report --email-report-level 2 |
tripwire --check --severity 80 |
使用指定的规则名进行检查:
tripwire --check --rule-name rulename |
只检查指定的文件或目录:
tripwire --check object1 object2 object3 … |
进行检查时忽略某些属性(因为有些属性的检查比较耗费系统资源,比如Hash算法):
tripwire --check --ignore "property, property, property, property" |
如果完整性检查完毕后,发现Email报告功能未生效,可以检查两个方面:一个是策略文件中规则的emailto属性必须填写妥当,另一个是运行tripwire命令时,--email-report选项必须被包含。