2021-05-12 14:32:11
使用 Tripwire 保護 Linux 檔案系統
如果惡意軟體或其情況改變了你的檔案系統,Linux 完整性檢查工具會提示你。
儘管 Linux 被認為是最安全的作業系統(排在 Windows 和 MacOS 之前),但它仍然容易受到 rootkit 和其他惡意軟體的影響。因此,Linux 使用者需要知道如何保護他們的伺服器或個人電腦免遭破壞,他們需要採取的第一步就是保護檔案系統。
在本文中,我們將看看 Tripwire,這是保護 Linux 檔案系統的絕佳工具。Tripwire 是一個完整性檢查工具,使得系統管理員、安全工程師和其他人能夠檢測系統檔案的變更。雖然它不是唯一的選擇(AIDE 和 Samhain 提供類似功能),但 Tripwire 可以說是 Linux 系統檔案中最常用的完整性檢查程式,並在 GPLv2 許可證下開源。
Tripwire 如何工作
了解 Tripwire 如何執行對了解 Tripwire 在安裝後會做什麼有所幫助。Tripwire 主要由兩個部分組成:策略和資料庫。策略列出了完整性檢查器應該生成快照的所有檔案和目錄,還建立了用於識別對目錄和檔案更改違規的規則。資料庫由 Tripwire 生成的快照組成。
Tripwire 還有一個組態檔,它指定資料庫、策略檔案和 Tripwire 可執行檔案的位置。它還提供兩個加密金鑰 —— 站點金鑰和本地金鑰 —— 以保護重要檔案免遭篡改。站點金鑰保護策略和組態檔,而本地金鑰保護資料庫和生成的報告。
Tripwire 會定期將目錄和檔案與資料庫中的快照進行比較並報告所有的更改。
安裝 Tripwire
要 Tripwire,我們需要先下載並安裝它。Tripwire 適用於幾乎所有的 Linux 發行版。你可以從 Sourceforge 下載一個開源版本,並如下根據你的 Linux 版本進行安裝。
Debian 和 Ubuntu 使用者可以使用 apt-get
直接從倉庫安裝 Tripwire。非 root 使用者應該輸入 sudo
命令通過 apt-get
安裝 Tripwire。
sudoapt-get update
sudo apt-get install tripwire
CentOS 和其他基於 RPM 的發行版使用類似的過程。為了最佳實踐,請在安裝新軟體包(如 Tripwire)之前更新倉庫。命令 yum install epel-release
意思是我們想要安裝額外的儲存庫。 (epel
代表 Extra Packages for Enterprise Linux。)
yum update
yum install epel-release
yum install tripwire
此命令會在安裝中執行讓 Tripwire 有效執行所需的設定。另外,它會在安裝過程中詢問你是否使用密碼。你可以兩個選擇都選擇 “Yes”。
另外,如果需要構建組態檔,請選擇 “Yes”。選擇並確認站點金鑰和本地金鑰的密碼。(建議使用複雜的密碼,例如 Il0ve0pens0urce
這樣的。)
建立並初始化 Tripwire 資料庫
接下來,按照以下步驟初始化 Tripwire 資料庫:
tripwire --init
你需要提供本地金鑰密碼才能執行這些命令。
使用 Tripwire 進行基本的完整性檢查
你可以使用以下命令讓 Tripwire 檢查你的檔案或目錄是否已被修改。Tripwire 將檔案和目錄與資料庫中的初始快照進行比較的能力依賴於你在活動策略中建立的規則。
tripwire --check
你還可以將 -check
命令限制為特定的檔案或目錄,如下所示:
tripwire --check /usr/tmp
另外,如果你需要使用 Tripwire 的 -check
命令的更多幫助,該命令能夠查閱 Tripwire 的手冊:
tripwire --check --help
使用 Tripwire 生成報告
要輕鬆生成每日系統完整性報告,請使用以下命令建立一個 crontab 任務:
crontab -e
之後,你可以編輯此檔案(使用你選擇的文字編輯器)來引入由 cron 執行的任務。例如,你可以使用以下命令設定一個 cron 任務,在每天的 5:40 將 Tripwire 的報告傳送到你的郵箱:
405 * * * usr/sbin/tripwire --check
無論你決定使用 Tripwire 還是其他具有類似功能的完整性檢查程式,關鍵問題都是確保你有解決方案來保護 Linux 檔案系統的安全。
via:opensource.com
本文永久更新連結地址:https://www.linuxidc.com/Linux/2018-04/152132.htm
相關文章