Tripwire如何為Linux文件系統保駕護航
譯文【51CTO.com快譯】雖然Linux被認為是最安全的操作系統(安全性勝過Windows和MacOS),但仍然容易受到rootkit及其他惡意軟件的攻擊。因此,Linux用戶需要知道如何保護自己的服務器或PC免遭破壞,他們需要采取的第一步就是保護好文件系統。
我們在本文中將介紹Tripwire(https://www.tripwire.com/)這款保護Linux文件系統的出色工具。Tripwire是一款完整性檢查工具,采用GPLv2許可證的開源軟件,讓系統管理員、安全工程師及其他人員能夠檢測對系統文件所做的改動。雖然Tripwire不是唯一的選擇(AIDE和Samhain提供類似的功能),卻稱得上是最常用的Linux系統文件完整性檢查工具。
Tripwire如何工作?
有必要知道Tripwire如何運行,以便了解它在安裝后能派什么用場。Tripwire的工作原理是,定期將目錄和文件與數據庫中的快照進行比較,報告任何改動的現象。
Tripwire包括這兩大部分:策略和數據庫。策略列出了這款完整性檢查工具應該拍攝快照的所有文件和目錄,并創建用于識別改動目錄和文件這一違規操作的規則。數據庫由Tripwire拍攝的快照組成。
Tripwire還有一個配置文件,指定了數據庫、策略文件和Tripwire可執行文件的位置。它還提供了兩個加密密鑰:站點密鑰和本地密鑰,保護重要文件以免被篡改。站點密鑰保護策略和配置文件,而本地密鑰保護數據庫和生成的報告。
安裝Tripwire
想使用Tripwire,我們就要先下載并安裝它。Tripwire在幾乎所有的Linux發行版上都可以運行;可以從Sourceforge(http://sourceforge.net/projects/tripwire)下載一個開源版本,如下安裝,具體取決于你的Linux版本。
Debian和Ubuntu用戶可以使用apt-get直接從軟件包存儲庫安裝Tripwire。非root用戶應輸入sudo命令,通過apt-get來安裝Tripwire。
- sudo apt-get update
- sudo apt-get install tripwire
CentOS及其他基于rpm的發行版遵循類似的過程。一個最佳實踐是,在安裝Tripwire之類的新軟件包之前,先更新存儲庫。yum install epel-release這個命令只是意味著,我們想要安裝額外的存儲庫。(epel的全稱是Extra Packages for Enterprise Linux。)
- yum update +z
- yum install epel-release
- yum install tripwire
該命令促使安裝過程對Tripwire正常發揮功效所需要的軟件包進行配置。此外,它會詢問你是否想在安裝過程中選擇口令短語。這兩個提示都可以選擇“Yes”。
另外,提示是否需要構建配置文件,選擇“Yes”。為站點密鑰和本地密鑰選擇并確認口令短語(建議使用復雜的口令短語,比如Il0ve0pens0urce。)
建立并初始化Tripwire的數據庫
下一步初始化Tripwire數據庫,如下所示:
- tripwire --init
你需要提供本地密鑰口令短語,才能運行這些命令。
使用Tripwire執行基本的完整性檢查
你可以使用下列命令,指令Tripwire檢查你的文件或目錄是否被改動。Tripwire能夠將文件和目錄與數據庫中的初始快照進行比較,有賴于在活動策略中創建的規則。
- tripwire --check
還可以限制-check命令只適用于特定的文件或目錄,如下例所示:
- tripwire --check /usr/tmp
此外,如果你需要獲得使用Tripwire的-check命令方面的更多幫助,該命令讓你可以查閱Tripwire的使用手冊:
- tripwire --check --help
使用Tripwire生成報告
想輕松地生成每天的系統完整性報告,可使用該命令創建crontab:
- crontab -e
之后可以編輯該文件(用你選擇的文本編輯器),明確由cron運行的任務。比如說,你可以使用這個命令,創建一個計劃任務(cron job),以便每天早上5:40將Tripwire報告發到你的電子郵箱:
- 40 5 * * * usr/sbin/tripwire --check
無論你決定使用Tripwire還是使用功能相似的其他完整性檢查工具,一個關鍵問題是,確保有辦法來保護你的Linux文件系統的安全。
原文標題:Securing the Linux filesystem with Tripwire,作者:Michael Kwaku Aboagye
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
