6.查阅报告
完整性检查进行完毕后,我们就可以查阅报告以发现有哪些文件遭到了改动,改动了什么。使用twprint命令可以输出报告,它有多种使用方式。
如下命令将加密的报告内容输出到显示器:
twprint --print-report --twrfile /var/lib/report/report.twr |
如下命令将加密的报告内容输出到一个文本文件:
twprint --print-report --twrfile /var/lib/report/report.twr - >myreport.txt |
如下命令输出报告时指定输出的报告等级:
twprint --print-report --report-level 4 --twrfile /var/lib/report/report.twr |
7.升级基准数据库文件
如果在报告中发现了一些违反策略的错误,而这些错误又是被认为正常的,那就要使用Tripwire命令更新基准数据库:
tripwire --update --twrfile /var/lib/report/report.twr |
也可以在进行完整性检查之后立即自动进行更新:
tripwire --check --interactive |
8.升级策略文件
随着系统的变化,原来的策略文件必然会不能满足需要,因此必须要不断的更新策略文件中的规则。更新和创建新的策略文件不同,因为如果为Tripwire创建了新的策略文件,那么就必须要重新生成基准数据库。更新时首先打开策略文件的文本文件:
twadmin --print-profile > twpol.txt |
然后编辑该文件,完毕后存盘。最后使用Tripwire命令进行策略更新:
tripwire --update-policy twpol.txt |
在此步骤中,Tripwire软件会要求输入site key。
9.改变site key和local key
sitekey和localkey是在安装时生成的,但是也可以随时修改。注意,如果已经用来加密的密钥文件被删除了或是被覆盖了,那么Tripwire加密过的文件都不能访问了。因此,我们要对这两个文件做备份。 很多时候会发现我们的口令可能不太安全,因此要改变口令。需执行以下命令即可:
twadmin --generate-keys --local-keyfile /etc/tripwire/site.key twadmin --generate-keys --local-keyfile /etc/tripwire/local.key |
但是这么做的话,会造成使用以前密钥进行加密的文件无法打开的情况。我们要使用以前的策略文件、配置文件、数据库文件、报告文件的话,因此在改变口令之前,我们必须使用以下的命令把这些已加密的文件进行解密。
twadmin --remove-encryption file1 file2 ... |
twadmin --encrypt --site-keyfile /etc/tripwire/site.key file1 file2 file3 ... twadmin --encrypt --local-keyfile /etc/tripwire/local.key file1 file2 file3 ... |
以上就是Linux文件系统保护的实现步骤参考。Tripwire是一个非常不错的开源工具,可以说是系统运维们不可替代的工具,值得仔细研究学习。除了Linux文件系统保护之外,Linux系统的安全管理还包括用户管理、进程保护、日志管理等三个方面,这些将在之后的文章中进行讲解。