系统相关
首页 > 系统相关> > Linux学习笔记总结(九十八)

Linux学习笔记总结(九十八)

作者:互联网

Tripware是目前最为著名的系统完整性检查的工具,该软件可以帮助我们判断系统的一些重要文件是否被***者修改过,对每个要监控的文件生成一个数字签名放入数据库中,比对现有的数字签名和保留的开始的数字签名是否一致,来判断这个文件是否被改过。Tripwire是一个非常贵的商业软件,但是它有自由软件版本,使用GPL许可证,虽然与商业版相比功能相对欠缺,但是已经足够我们使用了。

重要提示:完整性检查工具的安装最好是在linux系统安装刚完成的时候进行,因为完整性检查只有保留了系统文件的初始状态,才能确保系统文件的完整性。

1、  安装Tripwire

sudo apt-get install tripwire

     image.png                                        

选择服务器配置类型

image.png

输入邮件名

image.png

创建site密钥 :

image.png

创建local密钥

image.png

重建Tripwire配置文件

image.png

重建策略文件

image.png

输入site-key密码:

image.pngimage.png

创建site秘钥命令:

twadmin --generate-keys --site-keyfile /etc/tripwire/site.key

输入localkey的密码:

image.pngimage.png

创建local秘钥命令:

twadmin --generate-keys --site-keyfile /etc/tripwire/`hostname`-local.key

安装成功。

image.png

/etc/tripwire目录中的文件如下:

know_action@jx001:~$ ls /etc/tripwire/

jx001-local.key  site.key  tw.cfg  tw.pol  twcfg.txt  twpol.txt

jx001-local.key:加密本地秘钥文件

site.key:加密站点秘钥文件

tw.cfg:加密配置变量文件

tw.pol:加密策略文件

twcfg.txt:变量文件

twpol.txt:策略文件

twcfg.txt  twpol.txt:无需保留在当前位置,建议配置完成删除,

2、  配置文件twcfg.txt,策略文件twpol.txt

image.pngimage.png

3、  签名

利用site密钥对twcfg.txt进行签名,并将签名后的文件存为tw.cfg:

twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg --site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt

利用site密钥对twpol.txt进行签名,并将签名后的文件存为tw.pol:

twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg --site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt

4、  初始化

sudo tripwire --init

需要输入建立local key时我使用的密码,初始化完成后,tripwire会报告已经创建数据库文件/var/lib/tripwire/jx001.twd,定期备份。

image.png

5、  一次性检测

对所有定义的文件进行一次检测

sudo tripwire --check

image.png

生成一次检查性报告/var/lib/tripwire/report/jx001-20210305-104535.twr

6、  查看历史报告,可以看到更详细的信息

sudo twprint --print-report --twrfile /var/lib/tripwire/report/jx001-20210305-104535.twr

7、  删除twpol.txt和twcfg.txt文件

使用site.key对策略文件和配置文件加密和签名后,为了安全,都会把明文的twcfg.txt和twpol.txt文件删掉,如果需要修改策略和配置文件,可以适用命令个恢复:

twadmin --print-cfgfile > twcfg.txt 

twadmin --print-polfile > twpol.txt

修改完成称后,再签名并初始化数据库即可。

 


标签:tripwire,--,九十八,site,笔记,etc,key,Linux,txt
来源: https://blog.51cto.com/6300167/2660393