Библиотека сайта rus-linux.net
| Beyond Linux From Scratch. Version 2011-12-30 | ||
| Назад | 4. Безопасность | Вперед |
Пакет Tripwire-2.4.2.2
Знакомимся с пакетом Tripwire
В пакете Tripwire находятся программы, используемые для проверки целостности файлов данной системы.
Известно, что пакет правильно собирается и работает на платформе LFS-7.0.
Информация о пакете
- Загрузка (HTTP): http://downloads.sourceforge.net/tripwire/tripwire-2.4.2.2-src.tar.bz2
- Контрольная сумма MD5: 2462ea16fb0b5ae810471011ad2f2dd6
- Размер загружаемого пакета: 704 KB
- Оценочный размер требуемого дискового пространства: 31 MB
- Оценочное время сборки: 1,3 SBU (в том числе время на интерактивные запросы во время установки пакета)
Зависимости пакета Tripwire
Обязательные
Необязательные
Замечания для пользователей: http://wiki.linuxfromscratch.org/blfs/wiki/tripwire
Установка пакета Tripwire
Откомпилируйте пакет Tripwire при помощи следующих команд:
sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg &&
./configure --prefix=/usr --sysconfdir=/etc/tripwire &&
make
|
ПредупреждениеКонфигурация, задаваемая по умолчанию, позволяет использовать локальный MTA (Mail Transport Agent — почтовый транспортный агент). Если у вас нет установленного MTA и вы не хотите его устанавливать, то измените файл |
В этом пакете набор тестов отсутствует.
Теперь в роли пользователя root выполните:
make install && cp -v policy/*.txt /usr/doc/tripwire
Пояснение команд
sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg: Эта команда указывает, что устанавливать базу данных и хранить отчеты следует в директорий /var/lib/tripwire.
make install: Эта команда создает ключи безопасности
Tripwire, а также устанавливает бинарные файлы. Есть два ключа: ключ сайта (site key) и локальный ключ (local key), которые хранятся в директории /etc/tripwire/.
cp -v policy/*.txt /usr/doc/tripwire: Эта команда устанавливает файлы с примерами политик, а также другую документацию по Tripwire.
Конфигурирование пакета Tripwire
Конфигурационные файлы
/etc/tripwire/*
Подробнее о конфигурировании
В пакете Tripwire используется файл политик, в котором указываются файлы, целостность которых следует контролировать. Когда устанавливается пакет, устанавливается файл политик (/etc/tripwire/twpol.txt), созданный по умолчанию, и его следует отредактировать с учетом требований вашей системы.
Файлы политик следует адаптировать к каждому дистрибутиву и/или к
каждому варианту установки системы. Ряд примеров файлов политик можно найти в директории /usr/doc/tripwire/ (заметим, что в системе LFS директорий /usr/doc/ является символической ссылкой на директорий /usr/share/doc/).
При желании, скопируйте файл политик, которые вы хотели бы использовать, в директорий /etc/tripwire/ на место файла политик twpol.txt, созданного по умолчанию. Однако мы также рекомендуем вам отредактировать ваш файл политик. Ознакомьтесь с принципами по примерам, которые были приведены выше, и прочитайте дополнительную информацию в файле /usr/doc/tripwire/policyguide.txt. Файл twpol.txt является хорошим файлом политик для изучения Tripwire, поскольку в нем будут отмечаться любые изменения, сделанные в файловой системе, и его даже можно будет использовать при удалении программного обеспечения как достаточно надоедливый способ отслеживания изменений.
После того, как ваш файл политик будет отредактирован в соответствие с вашими пожеланиями, вы можете выполнить собственно конфигурирование (выполняется в роли пользователя root):
twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
/etc/tripwire/twpol.txt &&
tripwire --init
В зависимости от вашей системы и содержимого файла политик, этап инициализации, описанный выше, может занять продолжительное время.
Об использовании
Tripwire будет обнаруживать изменения в критически важных для системы файлах, указанных в файле политик. Если изменения часты, то Tripwire будет делать пометки обо всех этих изменениях в соответствующих директориях. Особенно это удобно после того, когда система сконфигурована так, что пользователь будет считать ее стабильной.
Чтобы после создания файла политик получить отчет Tripwire, используйте следующую команду:
tripwire --check > /etc/tripwire/report.txt
Просмотрите выданный отчет для того, чтобы проверить целостность ваших файлов. Автоматический отчет о целостности файлов можно получать с помощью cron, указав для этого график запуска.
Отчеты хранятся в двоичном виде и, если нужно, могут быть зашифрованы. Отчеты можно просматривать в роли пользователя root с помощью следующей команды:
twprint --print-report -r /var/lib/tripwire/report/<report-name.twr>
После того, как вы запустите проверку целостности, вы должны изучить отчет (или пришедшее вам электронное письмо), а затем изменить базу данных Tripwire так, чтобы отразить изменения файлов в вашей системе. Это требуется для того, чтобы Tripwire не сообщала о нарушении безопасности для тех файлов, которые вы изменили намеренно. Для этого вы должны сначала запустить команду ls -l /var/lib/tripwire/report/ и обратить внимание на название самого нового файла, которое начинается с имени вашей системы так, как оно выдается командой uname -n, и завершается расширением .twr. Эти файлы были созданы при создании отчета и самый последний файл необходим для обновления базы данных Tripwire в вашей системе. В роли пользователя root наберите следующую команду, указав имя соответствующего отчета:
tripwire --update --twrfile /var/lib/tripwire/report/<имя-отчета.twr>
Вы перейдете в редактор Vim с открытой в нем копией отчета. Если все изменения были правильными, то просто наберите команду :wq, а затем введите локальный ключ (local key) и база данных будет обновлена. Если есть файлы, о которых вы все еще хотите получать предупреждения, то удалите символ 'x', стоящий в отчете перед именем файла, и наберите команду :wq.
Хорошее краткое описание операций tripwire можно найти по следующей ссылке http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/ref-guide/ch-tripwire.html
Изменение файла политик
Если вы недовольны вашим файлом политик и хотели бы его изменить его или использовать новый файл, то измените файл политик, а затем в роли пользователя root выполните следующие команды:
twadmin --create-polfile /etc/tripwire/twpol.txt && tripwire --init
Описание пакета
Установленные программы: siggen, tripwire, twadmin и twprint
Установленные библиотеки: Нет
Установленные директории: /etc/tripwire, /var/lib/tripwire и /usr/share/doc/tripwire
Краткое описание
siggen | это утилита сбора сигнатур, которая отображает значения хэш-функции для указанных файлов. |
tripwire | является основной программой, проверяющей целостность файлов. |
twadmin | административное и инструментальное средство, используемое для выполнения определенных административных функций, связанных с файлами Tripwire и конфигурационными параметрами. |
twprint | выдает в обычном текстовом формате базу данных Tripwire и файлы отчетов. |
Перевод сделан с варианта оригинала, датированного 2011-12-07 18:46:35 +0000
| Предыдущий раздел: | Оглавление | Следующий раздел: |
| Пакет TCP Wrappers-7.6 | Глава 5 |