编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第PAGE5页共NUMPAGES5页第PAGE\*MERGEFORMAT5页共NUMPAGES\*MERGEFORMAT5页Linux系統安全講義-IDS:Tripwire檔案比對工具一、Tripwire簡介Tripwire是一套比對檔案/目錄完整性的安全工具，經由比對現存檔案與先前所建立的基準資料庫(baselinedatabase)，如果發現有任何資料受到新增、刪除或修改，Tripwire可即時通知系統管理員，並產生彈性的可讀式報告；管理員可依此評估是否要進行後續檢驗或系統還原的工作。TripwireRPM版的相關檔案如下：程式檔：(在/usr/sbin/)－tripwire(#mantripwire)：提供五大模式維護工作，(1)資料庫初始化(2)完整性檢驗(3)資料庫更新(4)原則更新(5)郵件測試－twadmin(#mantwadmin)：可產生Tripwire所使用的設定檔，原則檔及金鑰檔，也用來做編碼及簽章－twprint(#mantwprint)：以純文字列出資料庫和報告檔內容－siggen(#mansiggen)：可檢視檔案的雜湊編碼資料設定檔：/etc/tripwire/tw.cfg--(twcfg.txt-未加密)原則檔：/etc/tripwire/tw.pol--(twpol.txt-未加密)資料庫：/var/lib/tripwire/$(HOSTNAME).twd報告檔：/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr金鑰檔：分為sitekey和localkey；sitekey可用在多套系統上，是用來保護設定檔和原則檔；localkey是針對個別主機使用的，例如每個主機的資料庫(/etc/tripwire/site.key和$(HOSTNAME)-local.key下載軟體：tar.gz:http://sourceforge.net/projects/tripwire/(下載tripwire-2.3.1以上版本)rpm:http://rpmfind.net搜尋"tripwire"(RedHat光碟第二片也有)二、實做步驟RPM檔安裝後(#rpm-ivhtripwire-xxx.rpm)，需要再執行/etc/tripwire/twinstall.sh#/etc/tripwire/twinstall.sh<----輸入sitekey&localkey密碼DatabaseInitializationMode#/usr/sbin/tripwire-mi修改原則檔以符合系統現有的檔案架構#cd/etc/tripwire#/usr/sbin/tripwire-mc|grepFilename>twnotfound.txt編寫一個shellscript(twfilter.sh)(參考來源:網中人)#!/bin/bashorg_file=/etc/tripwire/twpol.txtnot_file=twnotfound.txttmp_file=tmp.txtnew_file=new.txtcat$org_file>$tmp_fileforIin$(cat$not_file|cut-d":"-f2);dogrep-v$i$tmp_file>$new_filecat$new_file>$tmp_filedonemv$org_file$org_file.bakcat$new_file>$org_filerm-f$new_filerm-f$tmp_file#---ENDScript---##shtwfilter.sh<--產生符合系統的原則檔根據新的原則檔重建資料庫#/usr/sbin/twadmin-mP/etc/tripwire/twpol.txt#/usr/sbin/tripwire-mi**重要**建立資料庫後”務必”刪除純文字格式的原則檔和設定檔#rm/etc/tripwire/twpol.txt#rm/etc/tripwire/twcfg.txtIntegrityCheckingMode#/usr/sbin/tripwire-mc可在/etc/cron.daily/下新增script:(tw-check)#!/bin/bash/usr/sbin/tripwire-mc|mail-s"TripwireDailyReportfrom{$HOSTNAME}"root@localhostDatabaseUpdateMode如果系統有新增或修改檔案，需更新資料庫：#/usr/sbin/tripw