《Linux系统安全讲义-IDSTripwire档案比对工具4457.docx》由会员分享,可在线阅读,更多相关《Linux系统安全讲义-IDSTripwire档案比对工具4457.docx(5页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Linux系統安全講義-IDS:Tripwire檔案比對工具Linuux系統統安全講義義-IDSS:Triipwiire檔檔案比對對工具一、Trripwwiree簡介1. Trippwirre是一一套比對對檔案/目錄完完整性的的安全工工具,經經由比對對現存檔檔案與先先前所建建立的基基準資料料庫(bbaseelinne ddataabasse),如如果發現現有任何何資料受受到新增增、刪除除或修改改,Trripwwiree可即時時通知系系統管理理員,並並產生彈彈性的可可讀式報報告;管管理員可可依此評評估是否否要進行行後續檢檢驗或系系統還原原的工作作。2. Trippwirre RRPM 版的相相關
2、檔案案如下:程式檔:(在 /uusr/sbiin/)triipwiire(#maan ttrippwirre):提供供五大模模式維護護工作,(1)資料庫初始化 (2)完整性檢驗 (3)資料庫更新 (4)原則更新 (5)郵件測試twaadmiin(#mann twwadmmin):可產產生Trripwwiree所使用用的設定定檔,原原則檔及及金鑰檔檔,也用用來做編編碼及簽簽章twpprinnt(#mann twwpriint):以純純文字列列出資料料庫和報報告檔內內容sigggenn(#mman sigggenn):可可檢視檔檔案的雜雜湊編碼碼資料設定檔:/ettc/ttrippwirre/tt
3、w.ccfg -(twccfg.txtt-未加加密)原則檔:/ettc/ttrippwirre/ttw.ppol -(twppol.txtt-未加加密)資料庫:/vaar/llib/triipwiire/$(HHOSTTNAMME).twdd報告檔:/vaar/llib/triipwiire/repportt/$(HOSSTNAAME)-$(DATTE).twrr金鑰檔:分為ssitee keey和loccal keyy;sitte kkey可可用在多多套系統統上,是是用來保保護設定定檔和原則檔檔;loccal keyy是針對對個別主主機使用用的,例例如每個個主機的的資料庫庫(/eetc/tr
4、iipwiire/sitte.kkey和和 $(HOSSTNAAME)-loocall.keey3. 下載軟體體:taar.ggz: htttp:/soourccefoorgee.neet/pprojjectts/ttrippwirre/ (下載trripwwiree-2.3.11以上版版本)rpmm: hhttpp:/rpmmfinnd.nnet 搜尋 triipwiire (RRedHHat 光碟第第二片也也有)二、實做做步驟1. RPM檔檔安裝後後(#rrpm -ivvh ttrippwirre-xxxx.rpmm),需需要再執執行 /etcc/trripwwiree/twwinssta
5、lll.ssh#/etcc/trripwwiree/twwinsstalll.ssh twwnottfouund.txtt編寫一一個shhelll sccrippt (twffiltter.sh) (參考考來源:網中人人)#!/bbin/basshorg_fille=/etcc/trripwwiree/twwpoll.txxtnot_fille=ttwnootfooundd.txxttmp_fille=ttmp.txttnew_fille=nnew.txttcat $orrg_ffilee $tmmp_ffileefor I iin $(caat $nott_fiile | ccut -d :
6、 -ff 2); ddogrepp -vv $ii $ttmp_fille $nnew_fille caat $neww_fiile $tmpp_fiiledoneemv $orgg_fiile $orrg_ffilee.baakcat $neew_ffilee $orrg_ffileerm -f $neww_fiilerm -f $tmpp_fiile# -ENND SScriipt-# #ssh ttwfiilteer.ssh /etcc/trripwwiree/twwpoll.txxt,改改完再更更新回加加密版#/ussr/ssbinn/trripwwiree -mm p /ettc/ttrippwirre/ttwpool.ttxt #/uusr/sbiin/ttrippwirre -m cc /etcc/trripwwiree/twwcfgg.txxt ,改改完再更更新回加加密版#/ussr/ssbinn/twwadmmin -m F -siite-keyyfille /etcc/trripwwiree/siite.keyy ttwcffg.ttxt#rm twccfg.txtt三、Trripwwiree運作原原理圖解解Page - 5Edited by bono
黑公网安备:91230400333293403D