Рейтинг@Mail.ru

Наши друзья и партнеры

купить дешевый 
компьютер родом из Dhgate.com




Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

На главную -> MyLDP -> Электронные книги по ОС Linux
Beyond Linux From Scratch. Version 2011-12-30
Назад 4. Безопасность Вперед

Пакет Tripwire-2.4.2.2

Знакомимся с пакетом Tripwire

В пакете Tripwire находятся программы, используемые для проверки целостности файлов данной системы.

Известно, что пакет правильно собирается и работает на платформе LFS-7.0.

Информация о пакете

  • Загрузка (HTTP): http://downloads.sourceforge.net/tripwire/tripwire-2.4.2.2-src.tar.bz2
  • Контрольная сумма MD5: 2462ea16fb0b5ae810471011ad2f2dd6
  • Размер загружаемого пакета: 704 KB
  • Оценочный размер требуемого дискового пространства: 31 MB
  • Оценочное время сборки: 1,3 SBU (в том числе время на интерактивные запросы во время установки пакета)

Зависимости пакета Tripwire

Обязательные

OpenSSL-1.0.0e

Необязательные

MTA

Замечания для пользователей: http://wiki.linuxfromscratch.org/blfs/wiki/tripwire

Установка пакета Tripwire

Откомпилируйте пакет Tripwire при помощи следующих команд:

sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg &&
./configure --prefix=/usr --sysconfdir=/etc/tripwire &&
make

Предупреждение

Конфигурация, задаваемая по умолчанию, позволяет использовать локальный MTA (Mail Transport Agent — почтовый транспортный агент). Если у вас нет установленного MTA и вы не хотите его устанавливать, то измените файл install/install.cfg так, чтобы указать, что будет использоваться сервер SMTP. В противном случае установка завершится неудачей.

В этом пакете набор тестов отсутствует.

Теперь в роли пользователя root выполните:

make install &&
cp -v policy/*.txt /usr/doc/tripwire

Пояснение команд

sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg: Эта команда указывает, что устанавливать базу данных и хранить отчеты следует в директорий /var/lib/tripwire.

make install: Эта команда создает ключи безопасности Tripwire, а также устанавливает бинарные файлы. Есть два ключа: ключ сайта (site key) и локальный ключ (local key), которые хранятся в директории /etc/tripwire/.

cp -v policy/*.txt /usr/doc/tripwire: Эта команда устанавливает файлы с примерами политик, а также другую документацию по Tripwire.

Конфигурирование пакета Tripwire

Конфигурационные файлы

/etc/tripwire/*

Подробнее о конфигурировании

В пакете Tripwire используется файл политик, в котором указываются файлы, целостность которых следует контролировать. Когда устанавливается пакет, устанавливается файл политик (/etc/tripwire/twpol.txt), созданный по умолчанию, и его следует отредактировать с учетом требований вашей системы.

Файлы политик следует адаптировать к каждому дистрибутиву и/или к каждому варианту установки системы. Ряд примеров файлов политик можно найти в директории /usr/doc/tripwire/ (заметим, что в системе LFS директорий /usr/doc/ является символической ссылкой на директорий /usr/share/doc/).

При желании, скопируйте файл политик, которые вы хотели бы использовать, в директорий /etc/tripwire/ на место файла политик twpol.txt, созданного по умолчанию. Однако мы также рекомендуем вам отредактировать ваш файл политик. Ознакомьтесь с принципами по примерам, которые были приведены выше, и прочитайте дополнительную информацию в файле /usr/doc/tripwire/policyguide.txt. Файл twpol.txt является хорошим файлом политик для изучения Tripwire, поскольку в нем будут отмечаться любые изменения, сделанные в файловой системе, и его даже можно будет использовать при удалении программного обеспечения как достаточно надоедливый способ отслеживания изменений.

После того, как ваш файл политик будет отредактирован в соответствие с вашими пожеланиями, вы можете выполнить собственно конфигурирование (выполняется в роли пользователя root):

twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
    /etc/tripwire/twpol.txt &&
tripwire --init

В зависимости от вашей системы и содержимого файла политик, этап инициализации, описанный выше, может занять продолжительное время.

Об использовании

Tripwire будет обнаруживать изменения в критически важных для системы файлах, указанных в файле политик. Если изменения часты, то Tripwire будет делать пометки обо всех этих изменениях в соответствующих директориях. Особенно это удобно после того, когда система сконфигурована так, что пользователь будет считать ее стабильной.

Чтобы после создания файла политик получить отчет Tripwire, используйте следующую команду:

tripwire --check > /etc/tripwire/report.txt

Просмотрите выданный отчет для того, чтобы проверить целостность ваших файлов. Автоматический отчет о целостности файлов можно получать с помощью cron, указав для этого график запуска.

Отчеты хранятся в двоичном виде и, если нужно, могут быть зашифрованы. Отчеты можно просматривать в роли пользователя root с помощью следующей команды:

twprint --print-report -r /var/lib/tripwire/report/<report-name.twr>

После того, как вы запустите проверку целостности, вы должны изучить отчет (или пришедшее вам электронное письмо), а затем изменить базу данных Tripwire так, чтобы отразить изменения файлов в вашей системе. Это требуется для того, чтобы Tripwire не сообщала о нарушении безопасности для тех файлов, которые вы изменили намеренно. Для этого вы должны сначала запустить команду ls -l /var/lib/tripwire/report/ и обратить внимание на название самого нового файла, которое начинается с имени вашей системы так, как оно выдается командой uname -n, и завершается расширением .twr. Эти файлы были созданы при создании отчета и самый последний файл необходим для обновления базы данных Tripwire в вашей системе. В роли пользователя root наберите следующую команду, указав имя соответствующего отчета:

tripwire --update --twrfile /var/lib/tripwire/report/<имя-отчета.twr>

Вы перейдете в редактор Vim с открытой в нем копией отчета. Если все изменения были правильными, то просто наберите команду :wq, а затем введите локальный ключ (local key) и база данных будет обновлена. Если есть файлы, о которых вы все еще хотите получать предупреждения, то удалите символ 'x', стоящий в отчете перед именем файла, и наберите команду :wq.

Хорошее краткое описание операций tripwire можно найти по следующей ссылке http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/ref-guide/ch-tripwire.html

Изменение файла политик

Если вы недовольны вашим файлом политик и хотели бы его изменить его или использовать новый файл, то измените файл политик, а затем в роли пользователя root выполните следующие команды:

twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init

Описание пакета

Установленные программы: siggen, tripwire, twadmin и twprint

Установленные библиотеки: Нет

Установленные директории: /etc/tripwire, /var/lib/tripwire и /usr/share/doc/tripwire

Краткое описание

siggen

это утилита сбора сигнатур, которая отображает значения хэш-функции для указанных файлов.

tripwire

является основной программой, проверяющей целостность файлов.

twadmin

административное и инструментальное средство, используемое для выполнения определенных административных функций, связанных с файлами Tripwire и конфигурационными параметрами.

twprint

выдает в обычном текстовом формате базу данных Tripwire и файлы отчетов.

Перевод сделан с варианта оригинала, датированного 2011-12-07 18:46:35 +0000


Предыдущий раздел: Оглавление Следующий раздел:
Пакет TCP Wrappers-7.6   Глава 5

Если вам понравилась статья, поделитесь ею с друзьями: