首頁 > 軟體

使用 Tripwire 保護 Linux 檔案系統

2020-06-16 16:52:29

如果惡意軟體或其情況改變了你的檔案系統,Linux 完整性檢查工具會提示你。

儘管 Linux 被認為是最安全的作業系統(排在 Windows 和 MacOS 之前),但它仍然容易受到 rootkit 和其他惡意軟體的影響。因此,Linux 使用者需要知道如何保護他們的伺服器或個人電腦免遭破壞,他們需要採取的第一步就是保護檔案系統。

在本文中,我們將看看 Tripwire,這是保護 Linux 檔案系統的絕佳工具。Tripwire 是一個完整性檢查工具,使得系統管理員、安全工程師和其他人能夠檢測系統檔案的變更。雖然它不是唯一的選擇(AIDESamhain 提供類似功能),但 Tripwire 可以說是 Linux 系統檔案中最常用的完整性檢查程式,並在 GPLv2 許可證下開源。

 

Tripwire 如何工作

了解 Tripwire 如何執行對了解 Tripwire 在安裝後會做什麼有所幫助。Tripwire 主要由兩個部分組成:策略和資料庫。策略列出了完整性檢查器應該生成快照的所有檔案和目錄,還建立了用於識別對目錄和檔案更改違規的規則。資料庫由 Tripwire 生成的快照組成。

Tripwire 還有一個組態檔,它指定資料庫、策略檔案和 Tripwire 可執行檔案的位置。它還提供兩個加密金鑰 —— 站點金鑰和本地金鑰 —— 以保護重要檔案免遭篡改。站點金鑰保護策略和組態檔,而本地金鑰保護資料庫和生成的報告。

Tripwire 會定期將目錄和檔案與資料庫中的快照進行比較並報告所有的更改。

 

安裝 Tripwire

要 Tripwire,我們需要先下載並安裝它。Tripwire 適用於幾乎所有的 Linux 發行版。你可以從 Sourceforge 下載一個開源版本,並如下根據你的 Linux 版本進行安裝。

Debian 和 Ubuntu 使用者可以使用 apt-get 直接從倉庫安裝 Tripwire。非 root 使用者應該輸入 sudo 命令通過 apt-get 安裝 Tripwire。

  1. sudoapt-get update
  2. sudo  apt-get install tripwire  

CentOS 和其他基於 RPM 的發行版使用類似的過程。為了最佳實踐,請在安裝新軟體包(如 Tripwire)之前更新倉庫。命令 yum install epel-release 意思是我們想要安裝額外的儲存庫。 (epel 代表 Extra Packages for Enterprise Linux。)

  1. yum update
  2. yum install epel-release
  3. yum install tripwire  

此命令會在安裝中執行讓 Tripwire 有效執行所需的設定。另外,它會在安裝過程中詢問你是否使用密碼。你可以兩個選擇都選擇 “Yes”。

另外,如果需要構建組態檔,請選擇 “Yes”。選擇並確認站點金鑰和本地金鑰的密碼。(建議使用複雜的密碼,例如 Il0ve0pens0urce 這樣的。)

 

建立並初始化 Tripwire 資料庫

接下來,按照以下步驟初始化 Tripwire 資料庫:

  1. tripwire --init

你需要提供本地金鑰密碼才能執行這些命令。

 

使用 Tripwire 進行基本的完整性檢查

你可以使用以下命令讓 Tripwire 檢查你的檔案或目錄是否已被修改。Tripwire 將檔案和目錄與資料庫中的初始快照進行比較的能力依賴於你在活動策略中建立的規則。

  1. tripwire  --check  

你還可以將 -check 命令限制為特定的檔案或目錄,如下所示:

  1. tripwire   --check   /usr/tmp  

另外,如果你需要使用 Tripwire 的 -check 命令的更多幫助,該命令能夠查閱 Tripwire 的手冊:

  1. tripwire  --check  --help  

 

使用 Tripwire 生成報告

要輕鬆生成每日系統完整性報告,請使用以下命令建立一個 crontab 任務:

  1. crontab -e

之後,你可以編輯此檔案(使用你選擇的文字編輯器)來引入由 cron 執行的任務。例如,你可以使用以下命令設定一個 cron 任務,在每天的 5:40 將 Tripwire 的報告傳送到你的郵箱:

  1. 405  *  *  *  usr/sbin/tripwire   --check

無論你決定使用 Tripwire 還是其他具有類似功能的完整性檢查程式,關鍵問題都是確保你有解決方案來保護 Linux 檔案系統的安全。

via:opensource.com

本文永久更新連結地址https://www.linuxidc.com/Linux/2018-04/152132.htm


IT145.com E-mail:sddin#qq.com