Tripwire是UNIX安全规范中最有用的工具之一,Tripwire可检测多达10多种的UNIX文件系统属性和20多种的NT文件系统(包括注册表)属性。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库,所谓特征码函数就是使用任意的文件作为输入,产生一个固定大小的数据(特征码)的函数。入侵者如果对文件进行了修改,即使文件大小不变,也会破坏文件的特征码。利用这个数据库,Tripwire可以很容易地发现系统的丝毫细微的变化。而且文件的特征码几乎是不可能伪造的,系统的任何变化都逃不过Tripwire的监视。
为了防止被篡改,Tripwire对其自身的一些重要文件进行了加密和签名处理。这里涉及到两个密钥:site密钥和local密钥。其中,前者用于保护策略文件和配置文件,如果多台机器具有相同的策略和配置的话,那么它们就可以使用相同的site密钥;后者用于保护数据库和报告,因此不同的机器必须使用不同的local密钥。
下要给出该软件的安装以及使用步骤,要得到该软件可以从Sourceforge直接获得(当前最新版本为tripwire-2.4.1.2-src.tar.bz2)。
(1)解压缩安装文件到/usr/local目录
| //切换工作路径 #cd /usr/local/ //解压缩 #tar xvfj tripwire-2.4.1.2-src.tar.bz2 |
| //进入已经解压的文件夹 #cd tripwire-2.4.1.2-src //生成makefile文件 #./configure //执行make命令 #make //执行make install命令 #make install |
(3)生成基准数据库
成功编译Tripwire,就可以准备开始对须要监控的文件进行扫描,以生成Tripwire数据库,在Tripwire的src目录下:如下操作:
| #./tripwire –init |
(4)测试
数据库生成了,使用命令运行Tripwire,扫描系统变化和细小改变
| #./tripwire—check |
当第一次运行Tripwire时,须要进行一些准备工作,主要有编辑config文件、检查邮件报告是否正常、根据需要配置策略文件和初始化数据库文件,即创建一个签名的基线数据库。下一次运行时,它使用twpol.txt文件产生一个新的签名数据库。然后,比较两个数据库,实施用户定义的任何选项屏蔽(排除经常更改的文件),最后通过电子邮件或显示器来为用户在终端上输出一个可读的报告。
为了确保Tripwire正确地运行,要特别注意其安装和配置的过程,具体步骤如下:
