Tripwire强大的服务器文件完整性监测系统-检测并报告服务器入侵

VPS主机   2014年08月17日 17:33  

Tripwire强大的服务器文件完整性监测系统-检测并报告服务器入侵

Tripwire是一个开源的功能强大的服务器文件完整性监测系统,利用各个文件的数字签名前后之间的对比 ,从而得出系统中的文件是否被人篡改过。Tripwire强大之处在于利用MD5和SNCFRN加密手段来生成文件的数字签名,任何文件改动的痕迹都能察觉。

如果你怀疑服务器遭到黑客攻击过,在多数情况下,黑客可能对系统文件等等一些重要的文件进行修改,这时Tripwire就可以生成文件变动的详细报告了。同时,为了防止Tripwire自身的文件也被人动手脚,我们可以将Tripwire的数字签名数据库、Tripwire二进制文件、配置文件单独取出来。

总之,Tripwire虽然不能抵御服务器入侵,但是却是“黑客”背后一双明亮的“眼睛”,默默地记录着服务器上所有的一切,是我们保证服务器安全的一个重要工具。本文就来分享一下Tripwire的安装与使用方法。更多的有关于服务器安全的文章可看:

Tripwire强大的服务器文件完整性监测系统-检测并报告服务器入侵

一、Tripwire安装

1、Tripwire官网:

  • 1、官方网站:https://sourceforge.net/projects/tripwire/

2、Tripwire安装在VPS上只要执行以下命令:


wget https://sourceforge.net/projects/tripwire/files/tripwire-src/tripwire-2.4.1.2-src/tripwire-2.4.1.2-src.tar.bz2
tar jxvf tripwire-2.4.1.2-src.tar.bz2
cd tripwire-2.4.1.2-src
./configure --prefix=/usr/local/tripwire
make
make install

3、安装过程中,会要求你阅读使用协议,回车。

Tripwire阅读安装协议

4、空格是翻页,到最后输入“Accept”继续安装。

Tripwire继续安装

5、接着会要求你输入“site keyfile”口令和“local keyfile”口令,各两遍,完成确认。

Tripwire输入口令

6、最后安装Tripwire完成。

Tripwire安装完成

二、Tripwire配置

1、Tripwire相关文件目录是在/usr/local/tripwire中。主要是:

  • 1、配置文件:定义数据库、策略文件和Tripwire可执行文件的位置:/etc/tripwire/twcfg.txt
  • 2、策略:定义检测的对象及违规时采取的行为:/etc/tripwire/twpol.txt
  • 3、数据库:用于存放生成的快照:/var/lib/tripwire/$(HOSTNAME).twd

Tripwire配置目录

2、同时,Tripwire为了自身的安全,防止自身被篡改,也会对自身进行加密和签名处理。其中,包括两个密钥:

  • 1、site密钥:用于保护策略文件和配置文件,只要使用相同的策略和配置的机器,都可以使用相同的site密钥:/etc/tripwire/site.key
  • 2、local密钥:用户保护数据库和分析报告,不会重复:/etc/tripwire/$(HOSTNAME)-local.key

3、其中 /etc/twpol.txt中是控制对哪些目录进行检查,执行:vim /usr/local/tripwire/etc/twpol.txt 可以打开编辑此文件。

4、对于一些不存在的文件目录和文件或者不想让Tripwire监控的文件目录等可以用#号把它注释掉。

Tripwire控制监测目录

三、Tripwire使用

1、Tripwire第一次安装后,需要进行一次数据初始化,命令:


/usr/local/tripwire/sbin/tripwire --init

2、在检测服务器文件完整性时,对于不存在的目录或者文件Tripwire会报警,没有关系。当然你可以在twpol.txt 把这些目录或者文件给注释掉。

Tripwire警告报警

3、最后Tripwire会生成一个文件监控数据库,存放在/usr/local/tripwire/lib/tripwire 中。

Tripwire生成初始报告

4、Tripwire初始化完成后,就可以执行文件完整性检测了,默认的情况下Tripwire每天进入一次检查:


/etc/cron.daily/tripwire --check

5、手动检查的命令是,先进入到/usr/local/tripwire中 ,再执行命令:


./sbin/tripwire --check --interactive

Tripwire手动检测

6、后面加上interactive,是用于检测完成后自动打开文件完整性报告,这就是Tripwire的检测报告,任何文件属性的变动就可以在报告中看到。(点击放大)

Tripwire报告内容

四、Tripwire报告

1、Tripwire检测后生成的报告放在/usr/local/tripwire/lib/tripwire/report 中,文件是加密的。

Tripwire报告被加密

2、如果要查看的话,需要用到Tripwire的解密工具:twprint。依然是进入到/usr/local/tripwire 目录中,然后执行(注意:freehao123.XX.XX.twr 是报告文件名,你需要修改成你自己的):


./sbin/twprint --print-report --twrfile ./lib/tripwire/report/freehao123.cloud.mos.meituan.local-20140810-152548.twr >/tmp/tripwire_readable.txt
cat /tmp/tripwire_readable.txt

3、解密后的Tripwire报告可以下载到本地用文本编辑器打开查看,不过为了保密,查看后记得把这些解密后的文本文件删除。

Tripwire解密报告

4、如果你怀疑某一个文件有重大的问题,除用文本编辑器搜索功能查找外,还可以使用twprint提取工具:


./sbin/twprint -m d --print-dbfile /home/freehao123.js

Tripwire重点检测

五、更新Tripwire数据库和定时执行文件完整性检测

1、如果你修改过文件完整性监测项目控制文件twpol.txt,需要执行更新配置文件:


cd /usr/local/tripwire
./sbin/tripwire --update-policy --secure-mode low ./etc/twpol.txt

2、Tripwire以最开始生成的文件完整性的数据库作为对比基准,但如果有些文件是自己修改过的,并不希望Tripwire在每次检测时把它当成是异常,这时就需要找到原始的数据库文件,执行更新操作了。


tripwire --update --twrfile /usr/local/tripwire/lib/tripwire/report/freehao123.cloud.mos.meituan.local-20140810-152548.twr

3、Tripwire设置定时检测任务。编辑定时任务:crontab -e,以下命令是表示每天凌晨4:00时开始自动执行文件完整性检测并生成报告 。


00 4 * * * /usr/local/tripwire/sbin/tripwire --check

六、Tripwire使用小结

1、管理员如果能够定制完整的策略和检查周期,Tripwire将可以实现对系统的完整监控,在遭遇服务器入侵时Tripwire将是帮助检测入侵痕迹的最有力工具。

2、为了防止Tripwire本身也遭遇篡改,我们需要做好Tripwire的备份工作,有兴趣的朋友还可以设置好Tripwire执行完检测任务后自动将检测报告发送到管理员邮箱,以便及时作出应对。

文章出自:免费资源部落 https://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。

十个便宜VPS主机分享-VPS服务器建站和搭建应用服务体验
购买VPS主机

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

在这个部落村庄里,已经有29 位神马家族成员冒出泡来在农场开始干活了
  • 张三疯

    居然是沙发

    吴尼玛 回复:

    @张三疯, 其实,你可以不回帖的

    这是农场的第 1 块农田,部落批准 [张三疯] 在[2014-8-17 17:52]开垦完成.
  • 洛克 14

    为什么啊 :eek:

    这是农场的第 2 块农田,部落批准 [洛克] 在[2014-8-17 17:54]开垦完成.
  • liqiu 6

    签到了= =

    这是农场的第 3 块农田,部落批准 [liqiu] 在[2014-8-17 18:27]开垦完成.
  • Rich 10

    今天签到啦!时间:18:41:43(源自Rich.GA自动回复)

    ytf4425 回复:

    @Rich, 你的博客是不能回复么。。。

    这是农场的第 4 块农田,部落批准 [Rich] 在[2014-8-17 18:41]开垦完成.
  • ytf4425 15

    又晚了。。。

    这是农场的第 5 块农田,部落批准 [ytf4425] 在[2014-8-17 19:25]开垦完成.
  • 发现现在来免费资源部落都不是为了看帖,而是为了抢沙发了

    这是农场的第 6 块农田,部落批准 [吴尼玛] 在[2014-8-17 19:25]开垦完成.
  • 没钱买服务器折腾,求LZ赞助 :cry: :cry: :cry: :cry:

    liqiu 回复:

    @吴尼玛, 求赞助+1

    这是农场的第 7 块农田,部落批准 [吴尼玛] 在[2014-8-17 19:28]开垦完成.
  • 羊会飞 3

    啊,我RSS抢楼都没你们快

    Tammy 回复:

    @羊会飞, freehao123的rss延时10分钟

    这是农场的第 8 块农田,部落批准 [羊会飞] 在[2014-8-17 19:39]开垦完成.
  • 妹纸 23

    @qi,现在都逢一三五发文章了

    这是农场的第 9 块农田,部落批准 [妹纸] 在[2014-8-17 20:48]开垦完成.
  • Kung 23

    卧槽这个有点厉害的。。。

    这是农场的第 10 块农田,部落批准 [Kung] 在[2014-8-18 10:29]开垦完成.
  • YYBlog 7

    在此投稿+分享x2:https://www.yyblog.ml/haphost-vps,https://www.yyblog.ml/haphost-vps-active

    qi 回复:

    @YYBlog, 很不错,有没有试用体验呢?

    Tammy 回复:

    @qi, h1f改名而已

    YYBlog 回复:

    @qi, 呵呵,当然有,不过不知为啥无法跑分

    这是农场的第 11 块农田,部落批准 [YYBlog] 在[2014-8-18 10:40]开垦完成.
  • 风雨无阻 4

    前排签到啦

    这是农场的第 12 块农田,部落批准 [风雨无阻] 在[2014-8-18 12:05]开垦完成.
  • woween 2

    好东西,请问有ddos被攻击源异常流量监控程序吗?

    qi 回复:

    @woween, 我去找找有没有免费的。

    这是农场的第 13 块农田,部落批准 [woween] 在[2014-8-18 13:31]开垦完成.
  • 超級efly 17

    今天簽到啦!時間:下午8:46:14~歡迎訪問AREFLY.COM~~ :P

    这是农场的第 14 块农田,部落批准 [超級efly] 在[2014-8-18 20:45]开垦完成.
  • webyxm 2

    学习了啊!呵呵!

    这是农场的第 15 块农田,部落批准 [webyxm] 在[2014-8-19 10:23]开垦完成.
  • 包子

    单纯路个过 :cool: :cool:

    这是农场的第 16 块农田,部落批准 [包子] 在[2014-8-19 12:08]开垦完成.
  • 不认识 17

    好东西。。。总比我们写脚本对比MD5强得多。。。

    这是农场的第 17 块农田,部落批准 [不认识] 在[2014-8-19 22:34]开垦完成.
  • 免费部落 16

    好久没来,原来还有这么好的东西啊!

    这是农场的第 18 块农田,部落批准 [免费部落] 在[2014-8-20 13:24]开垦完成.
  • 留个外链,嘿嘿~~~~~~~

    这是农场的第 19 块农田,部落批准 [吴尼玛] 在[2014-8-20 14:33]开垦完成.
  • 猫箱内の巴托拉 4

    感谢教程

    这是农场的第 20 块农田,部落批准 [猫箱内の巴托拉] 在[2014-8-22 11:21]开垦完成.
  • Lin

    非常不错的教程,感谢知识分享。

    这是农场的第 21 块农田,部落批准 [Lin] 在[2016-12-27 16:58]开垦完成.
看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


评论内容 (*必填):
(Ctrl + Enter提交)   

部落快速搜索栏

各类专题梳理

网站导航栏

X
返回顶部