tripwire_用Tripwire保护Linux文件系统
tripwire
尽管Linux被认为是最安全的操作系统(在Windows和MacOS之前),但它仍然容易受到rootkit和其他恶意软件变体的攻击。 因此,Linux用户需要知道如何保护其服务器或个人计算机免遭破坏,而他们需要采取的第一步就是保护文件系统。
在本文中,我们将介绍Tripwire ,它是保护Linux文件系统的出色工具。 Tripwire是一个完整性检查工具,使系统管理员,安全工程师和其他人员可以检测对系统文件的更改。 尽管不是唯一可用的选项( AIDE和Samhain提供类似的功能),但可以说Tripwire是Linux系统文件最常用的完整性检查程序,并且可以作为GPLv2下的开源程序使用。
Tripwire如何运作
了解Tripwire的工作方式有助于了解安装后的功能,这对您很有帮助。 Tripwire由两个主要组件组成:策略和数据库。 除了创建用于识别对目录和文件更改的违反的规则之外,策略还列出了完整性检查程序应为其快照的所有文件和目录。 数据库由Tripwire拍摄的快照组成。
Tripwire还具有一个配置文件,该文件指定数据库,策略文件和Tripwire可执行文件的位置。 它还提供了两个加密密钥(站点密钥和本地密钥),以保护重要文件免遭篡改。 站点密钥保护策略和配置文件,而本地密钥保护数据库和生成的报告。
Tripwire的工作方式是定期将目录和文件与数据库中的快照进行比较,并报告所有更改。
安装Tripwire
为了使用Tripwire,我们需要先下载并安装它。 Tripwire几乎可用于所有Linux发行版; 您可以从Sourceforge下载开源版本并按以下方式安装它,具体取决于您的Linux版本。
Debian和Ubuntu用户可以使用apt-get从存储库直接安装Tripwire。 非root用户应键入sudo命令以通过apt-get安装Tripwire。
sudo apt-get update
sudo apt-get install tripwire
CentOS和其他基于rpm的发行版使用类似的过程。 为了最佳实践,请在安装新软件包(如Tripwire)之前更新存储库。 yum install epel-release命令只是意味着我们要安装额外的存储库。 ( epel代表用于Enterprise Linux的Extra Packages。)
yum update
yum install epel-release
yum install tripwire
此命令使安装运行Tripwire有效运行所需的软件包配置。 此外,它还会询问您是否要在安装过程中选择密码短语。 您可以在两个提示中都选择“是”。
另外,如果需要构建配置文件,请选择或选择“是”。 选择并确认站点密钥和本地密钥的密码。 (建议使用复杂的密码短语,例如Il0ve0pens0urce 。)
建立和初始化Tripwire的数据库
接下来,按以下方式初始化Tripwire数据库:
tripwire –-init 您需要提供本地密钥密码来运行命令。
使用Tripwire进行基本完整性检查
您可以使用以下命令指示Tripwire检查您的文件或目录是否已被修改。 Tripwire可以将文件和目录与数据库中的初始快照进行比较,这取决于您在活动策略中创建的规则。
tripwire --check 您还可以将–check命令限制为特定的文件或目录,例如在此示例中:
tripwire –-check /usr/tmp 此外,如果您需要有关使用Tripwire的–check命令的扩展帮助,此命令可让您查阅Tripwire的手册:
tripwire --check --help 使用Tripwire生成报告
要轻松生成每日系统完整性报告,请使用以下命令创建crontab :
crontab -e 之后,您可以编辑该文件(使用您选择的文本编辑器)以引入要由cron运行的任务。 例如,您可以使用以下命令来设置cron作业,以每天早上5:40将Tripwire报告发送到您的电子邮件中:
40 5 * * * usr/sbin/tripwire --check 无论您决定使用Tripwire还是其他具有类似功能的完整性检查程序,关键问题是确保您有一个解决方案来保护Linux文件系统的安全。
翻译自: https://opensource.com/article/18/1/securing-linux-filesystem-tripwire
tripwire