安裝Tripwire確保系統安全

舊油燈裡的巨人: 安裝Tripwire確保系統安全: "安裝Tripwire確保系統安全

前陣子有個朋友的機器被駭客入侵了，雖然資料都救回來了，但是系統裡到底有沒有殘留的木馬其實很難講，除了用chkrootkit掃掃看有沒有木馬之外， 幫系統做一個指紋系統應該會比掃描木馬的結果來的正確，因為木馬千奇百怪，掃描軟體是不是可以正確掃出來其實還滿難說的，而如果替系統建立一個指紋資料 庫，對重要的檔案產生指紋編碼，當哪天檔案被人竄改時，我們也可以在第一時間察覺，避免威脅擴散。而這篇記錄要說明的就是tripwire的設定方式。網路上有很多關於tripwire的安裝及設定方法，但很神奇的，他們講的都是舊版的，新版的已經不是這樣安裝了，所以僅利用此篇文章紀錄安裝方式，以免日後忘了又找不到相關說明。

Tripwire是一個opensource的專案，不過也有商業版，目前就我所知只有商業版的支援windows系統，而open source的專案則僅適用於Unix-like系統，台灣目前沒有商業版的代理商。

先從http://sourceforge.net/projects/tripwire/下載最新版的tripwire，目前是2.4.1.2的版本，先下載source code版本，就是tripwire-src那個專案。
上傳到機器上之後，由於檔案是bz2壓縮的，所以請先用bunzip2解壓縮：
bunzip2 tripwire-2.4.1.2-src.tar.bz2
再把tar檔案解開：
tar xvf tripwire-2.4.1.2-src.tar
解開後進入tripwire安裝檔資料夾，使用configure設定要安裝的目的：
./configure --prefix=/usr/local/tripwire　(讓它安裝在/usr/local底下)
跑完後系統會告訴你是不是缺少什麼東西，沒有的話就直接輸入：
make clean; make
make之後，需要稍微修改一下install.cfg，這個檔案就位於<>\install底下，找到TWMAILPROGRAM，然後將它指到你的sendmail主程式的目錄，例如：
if [ -z '$path_to_sendmail' ] ; then
TWMAILPROGRAM='/usr/sbin/sendmail'
else
TWMAILPROGRAM='${path_to_sendmail} -oi -t'
fi
完成後就可以開始make install了，系統會出現授權條款，看完之後要輸入accept才能繼續安裝。
接下來要設定幾個密碼
Enter the site keyfile passphrase:
Enter the local keyfile passphrase:
將資料庫初始化，執行以下指令對指紋資料庫進行第一次初始化
/usr/local/tripwire/sbin/tripwire -m
檢查etc底下的twcfg.txt檔案，裡面包含了一些tripwire的設定
修改/usr/local/tripwire/etc底下的twpol.txt，這個檔案是tripwire附的設定範例檔，使用者可以針對需要檢測的資料夾進行設定，如果整各系統都要做指紋檔的話，將會花費很長的時間，我們可以針對較重要的資料夾進行控管。
修改完畢後存檔，利用以下的指令更新policy
/usr/local/tripwire/sbin/tripwire -m p -Z low ../etc/twpol.txt
建立一個cron job，定期掃描系統，並將報告寄出
#!/bin/sh
/usr/local/tripwire/sbin/tripwire -m c -M >
然後就看報告了，資訊化的背後最後處理的還是人啊。

- 已使用 Google 工具列寄出"