Tripwire
Tripwire是一个免费的开源入侵检测系统(IDS)。 它是用于监视和警告系统上文件更改的安全工具。可以使用它来监控您的系统文件,包括网站文件。
与其他入侵检测系统 (IDS) 相比,Tripwire 确实有其自身的缺点。但是,由于它是开源的,这些缺点很快会被忘记。
Tripwire提供了四种算法对文件执行数字签名 CRC32 MD5 SHA HAVAL。Tripwire为系统中的文件和系统建立对应特征的数据库,再把文件和目录通过对比数据库来检测是否有修改。
安装配置流程
1)安装tripwire1
2yum install -y epel-release
yum install -y tripwire
2)生成新的tripwire密钥文件并添加密码
tripwire生产的密钥文件存放在/etc/tripwire 其中twcfg.txt 指报告的信息和级别和发送的邮箱等信息的配置文件twpol.txt 策略文件1
tripwire-setup-keyfiles
3)初始化
由于系统中并不一定有策略文件twpol.txt指定的目录,因此先把系统系没有对应的目录给注释并重新生成tripwire配置1
2
3
4
5
6
7
8
9tripwire --init
sh -c "tripwire --check | grep Filename > no-directory.txt"
for f in $(grep "Filename:" no-directory.txt | cut -f2 -d:); do sed -i "s|\($f\) |#\\1|g" /etc/tripwire/twpol.txt; done
twadmin -m P /etc/tripwire/twpol.txt
tripwire --init
查看系统文件是否给修改1
tripwire --check
检测init.d目录下的服务(可以用于检测bin目录查看命令是否给修改)
修改策略配置文件再重新生成tripwire1
2
3
4
5
6
7
8
9
10
11
12
13
14
15vim /etc/tripwire/twpol.txt
# 添加下面命令
(
rulename = "server run", #规则名
severity= $(SIG_HI) #报警级别
)
{
/etc/init.d -> $(SEC_CRIT); #监控的目录
}
twadmin -m P /etc/tripwire/twpol.txt
tripwire --init #初始化 生成数据库
在init.d目录添加文件,测试检测结果1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23cd /etc/init.d/
touch aaa
mkdir test
tripwire --check
-------------------------------------------------------------------------------
Rule Name: server run (/etc/init.d)
Severity Level: 100
-------------------------------------------------------------------------------
Added:
"/etc/init.d/aaa"
"/etc/init.d/test"
Modified:
"/etc/init.d"
===============================================================================
Error Report:
===============================================================================
No Errors