入侵监控 – Tripwire

Tripwire简介 安装配置Tripwire 添加策略

Tripwire是一个免费的开源入侵检测系统(IDS)。 它是用于监视和警告系统上文件更改的安全工具。可以使用它来监控您的系统文件,包括网站文件。

与其他入侵检测系统 (IDS) 相比,Tripwire 确实有其自身的缺点。但是,由于它是开源的,这些缺点很快会被忘记。

Tripwire提供了四种算法

  1. CRC32 (常用)
  2. MD5 (常用)
  3. SHA
  4. HAVAL

安装配置Tripwire

yum install epel-release yum -y install tripwire

生成新的tripwire密钥文件

tripwire-setup-keyfiles

安装配置Tripwire

初始化

tripwire –init

sh -c "tripwire --check | grep Filename > no-directory.txt”

for f in $(grep "Filename:" no-directory.txt | cut -f2 -d:); do sed -i "s|($f) |#\1|g" /etc/tripwire/twpol.txt done

安装配置Tripwire 重新生成并重新签署tripwire配置

twadmin -m P /etc/tripwire/twpol.txt

重新初始化tripwire

tripwire --init

tripwire --check

添加策略 复制代码

( rulename = "server run", severity= $(SIG_HI) ) { /etc/init.d -> $(SEC_CRIT); }