舊油燈裡的巨人: 安裝Tripwire確保系統安全: "安裝Tripwire確保系統安全
前陣子有個朋友的機器被駭客入侵了,雖然資料都救回來了,但是系統裡到底有沒有殘留的木馬其實很難講,除了用chkrootkit掃掃看有沒有木馬之外, 幫系統做一個指紋系統應該會比掃描木馬的結果來的正確,因為木馬千奇百怪,掃描軟體是不是可以正確掃出來其實還滿難說的,而如果替系統建立一個指紋資料 庫,對重要的檔案產生指紋編碼,當哪天檔案被人竄改時,我們也可以在第一時間察覺,避免威脅擴散。而這篇記錄要說明的就是tripwire的設定方式。網路上有很多關於tripwire的安裝及設定方法,但很神奇的,他們講的都是舊版的,新版的已經不是這樣安裝了,所以僅利用此篇文章紀錄安裝方式,以免日後忘了又找不到相關說明。
Tripwire是一個opensource的專案,不過也有商業版,目前就我所知只有商業版的支援windows系統,而open source的專案則僅適用於Unix-like系統,台灣目前沒有商業版的代理商。
先從http://sourceforge.net/projects/tripwire/下載最新版的tripwire,目前是2.4.1.2的版本,先下載source code版本,就是tripwire-src那個專案。
上傳到機器上之後,由於檔案是bz2壓縮的,所以請先用bunzip2解壓縮:
bunzip2 tripwire-2.4.1.2-src.tar.bz2
再把tar檔案解開:
tar xvf tripwire-2.4.1.2-src.tar
解開後進入tripwire安裝檔資料夾,使用configure設定要安裝的目的:
./configure --prefix=/usr/local/tripwire (讓它安裝在/usr/local底下)
跑完後系統會告訴你是不是缺少什麼東西,沒有的話就直接輸入:
make clean; make
make之後,需要稍微修改一下install.cfg,這個檔案就位於<>\install底下,找到TWMAILPROGRAM,然後將它指到你的sendmail主程式的目錄,例如:
if [ -z '$path_to_sendmail' ] ; then
TWMAILPROGRAM='/usr/sbin/sendmail'
else
TWMAILPROGRAM='${path_to_sendmail} -oi -t'
fi
完成後就可以開始make install了,系統會出現授權條款,看完之後要輸入accept才能繼續安裝。
接下來要設定幾個密碼
Enter the site keyfile passphrase:
Enter the local keyfile passphrase:
將資料庫初始化,執行以下指令對指紋資料庫進行第一次初始化
/usr/local/tripwire/sbin/tripwire -m
檢查etc底下的twcfg.txt檔案,裡面包含了一些tripwire的設定
修改/usr/local/tripwire/etc底下的twpol.txt,這個檔案是tripwire附的設定範例檔,使用者可以針對需要檢測的資料夾進行設定,如果整各系統都要做指紋檔的話,將會花費很長的時間,我們可以針對較重要的資料夾進行控管。
修改完畢後存檔,利用以下的指令更新policy
/usr/local/tripwire/sbin/tripwire -m p -Z low ../etc/twpol.txt
建立一個cron job,定期掃描系統,並將報告寄出
#!/bin/sh
/usr/local/tripwire/sbin/tripwire -m c -M >
然後就看報告了,資訊化的背後最後處理的還是人啊。
- 已使用 Google 工具列寄出"
沒有留言:
張貼留言