Ubuntu tripwire 配置安装

安装系统:ubuntu12.04

本文档有些内容是引用其他同僚的  如有侵权 欢迎联系

原理
 Tripwire可以对要求校验的系统文件进行类似md5的运行,而生成一个唯一的标识,即快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后,再次运行Tripwire,其会进行前后属性的对比,并生成相关的详细报告。
 Tripwire由下面部分组成:
1、配置文件:定义数据库、策略文件和Tripwire可执行文件的位置:
/etc/tripwire/twcfg.txt
2、策略文件:定义检测的对象及违规时采取的行为:
/etc/tripwire/twpol.txt
3、数据库文件:用于存放生成的快照:
/var/lib/tripwire/$(HOSTNAME).twd
 

Tripwire为了自身的安全,防止自身被篡改,也会对自身进行加密和签名处理。其中,包括两个密钥:
1site密钥:用于保护策略文件和配置文件,只要使用相同的策略和配置的机器,都可以使用相同的site密钥:
/etc/tripwire/site.key
2local密钥:用户保护数据库和分析报告
/etc/tripwire/$(HOSTNAME)-local.key

软件安装

Apt-get install tripwire

使用local密钥的口令初始化数据库

/usr/sbin/tripwire –init

如果出现等报错 建议修改twopl文件  将不需要监控的项目 删除或注释

修改配置文件

Apt-get 安装的 tripwire 配置文件默认目录为 /etc/tripwire/目录下

Rm –rf tw.cfg   删除已经生成的配置文件

Rm –rf tw.pol   删除已经生成的策略文件

Vim twcfg.txt

 

ROOT          =/usr/sbin   命令

POLFILE       =/etc/tripwire/tw.pol  策略文件

DBFILE        =/var/lib/tripwire/$(HOSTNAME).twd   数据库文件

REPORTFILE    =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr

SITEKEYFILE   =/etc/tripwire/site.key  site密钥文件

LOCALKEYFILE  =/etc/tripwire/$(HOSTNAME)-local.key   local 密钥文件

EDITOR        =/usr/bin/editor

LATEPROMPTING =false

LOOSEDIRECTORYCHECKING =false

MAILNOVIOLATIONS =true

EMAILREPORTLEVEL =3

REPORTLEVEL   =3

SYSLOGREPORTING =true

MAILMETHOD    =SMTP    邮件使用的协议

SMTPHOST      =localhost  主机

SMTPPORT      =25       端口

TEMPDIRECTORY =/tmp      临时文件存放目录

修改策略文件  把不需要监控的项目 删除

            recurse=n就是定义递归深度,0为目录本身这一层。

例如:

             /etc/rc6.d              -> $(SEC_BIN) recurse=n;

 

利用site密钥对twcfg.txt进行签名,并将签名后的文件存为tw.cfg
twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \
--site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt
会提示输入site.key的口令


利用site密钥对twpol.txt进行签名,并将签名后的文件存为tw.pol
twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg \
--site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt

重新初始化

/usr/sbin/tripwire --init

进行测试

root@weiliu:/etc# chmod 777 passwd

root@weiliu:/etc# /usr/sbin/tripwire --check

   更新数据库文件

      tripwire --update --twrfile /var/lib/tripwire/report/*****.twr(最新的)

 

   常用命令

1.       可以对指定的文件或目录检测:
tripwire -m c /bin/cp /etc

2.       可以对某一规则检测:
tripwire -m c --rule-name "My check files"

3.       还可以对某一等级检测:
tripwire --check --severity 50

4.       在使用site.key对策略文件和配置文件加密和签名后,为安全起见,都会把明文的twcfg.txttwpol.txt删掉。但如果您需要修改策略和配置文件,这还是必须要用到这两个文件的。
所以,可以使用下面的命令恢复:
cd /etc/tripwire
twadmin --print-cfgfile > twcfg.txt
twadmin --print-polfile > twpol.txt

5.       查看数据库文件

twprint --print-report --twrfile /var/lib/tripwire/liuwei.twd | more

6Database Initialization:  tripwire [-m i|--init] [options]

Integrity Checking:     tripwire [-m c|--check] [object1 [object2...]]

Database Update:      tripwire [-m u|--update]

Policy Update:         tripwire [-m p|--update-policy] policyfile.txt

Test:                 tripwire [-m t|--test] --email address

    7.创建site密钥,为安全起见,会提示输入口令

twadmin --generate-keys --site-keyfile /etc/tripwire/site.key

创建local密钥,同样的,也会提示输入口令
twadmin --generate-keys --site-keyfile /etc/tripwire/`hostname`-local.key