Tripwire是目前最爲著名的unix下文件系統完整性檢查的軟件工具,這一軟件採用的技術核心就是對每一個要監控的文件產生一個數字簽名,保留下來。當文件如今的數字簽名與保留的數字簽名不一致時,那麼如今這個文件一定被改動過了。
Tripwire能夠對要求校驗的系統文件進行相似md5的運行,而生成一個惟一的標識,即「快照」snapshot。當這些系統文件的大小、inode號、權限、時間等任意屬性被修改後,再次運行Tripwire,其會進行先後屬性的對比,並生成相關的詳細報告。html
一、下載並安裝node
[root@ipython ~]# wget http://nchc.dl.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2 [root@ipython ~]# tar jxf tripwire-2.4.2.2-src.tar.bz2 [root@ipython ~]# cd tripwire-2.4.2.2-src [root@ipython tripwire-2.4.2.2-src]# ./configure --prefix=/software/tripwire [root@ipython tripwire-2.4.2.2-src]# make [root@ipython tripwire-2.4.2.2-src]# make install ############INSTALL 交互################# Press ENTER to view the License Agreement. ###回車閱讀協議 license agreement. [do not accept] accept ###贊成協議 Continue with installation? [y/n] y ###確認繼續安裝 Enter the site keyfile passphrase: ###須要記住的keyfile Verify the site keyfile passphrase: ###重複 Enter the local keyfile passphrase: ###須要記住的local keyfile Verify the local keyfile passphrase: ###重複 Please enter your site passphrase: ###輸入 Please enter your site passphrase: ###輸入 ############交互結束,完成安裝################# [root@ipython tripwire-2.4.2.2-src]# ls /software/tripwire/etc/ | sort ipython.me-local.key ####加密本地密鑰文件 site.key ####加密站點密鑰文件 tw.cfg ####加密配置變量文件 tw.pol ####加密策略文件 twcfg.txt ####定義數據庫、策略文件和Tripwire可執行文件的位置 twpol.txt ####定義檢測的對象及違規時採起的行爲
二、初始化(生成基準數據庫)python
[root@ipython ~]# /software/tripwire/sbin/tripwire --init Please enter your local passphrase: ###鍵入密碼,後面省略此交互 ... ... Wrote database file: /software/tripwire/lib/tripwire/ipython.me.twd The database was successfully generated.
三、第一次完整性檢查,和經常使用檢查參數數據庫
[root@ipython ~]# /software/tripwire/sbin/tripwire --check ##默認檢查報告存放路徑## /software/tripwire/lib/tripwire/report/ ##指定存放路徑## [root@ipython ~]# /software/tripwire/sbin/tripwire --check --twrfile ./test.twr ###Email 發送報告### [root@ipython ~]# /software/tripwire/sbin/tripwire --check --email-report ###指定Email 報告的級別### [root@ipython ~]# /software/tripwire/sbin/tripwire --check --email-report --email-report-level 2 ###使用指定嚴重性等級的規則進行檢查### [root@ipython ~]# /software/tripwire/sbin/tripwire --check --severity 80 ###使用指定的規則名檢查## [root@ipython ~]# /software/tripwire/sbin/tripwire --check --rule-name rulename ###只檢查指定的文件或目錄 [root@ipython ~]# /software/tripwire/sbin/tripwire --check object1 object2 object3 ###檢查是忽略某屬性### [root@ipython ~]# /software/tripwire/sbin/tripwire --check --ignore "property, property, property, property" ###獲取幫助 [root@ipython ~]# /software/tripwire/sbin/tripwire --help all ##檢視報告## [root@ipython ~]# /software/tripwire/sbin/twprint --print-report --twrfile ./test.twr ##重定向加密報告的內容## [root@ipython ~]# /software/tripwire/sbin/twprint --print-report --twrfile ./test.twr > output.text ##指定報告輸出時的級別## [root@ipython ~]#