安装使用tripwire

注册 Vultr VPS 送你10美金 免费玩4个月

安装使用tripwire

下载

wget http://jaist.dl.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2

安装

tar -xf tripwire-2.4.2.2-src.tar.bz2 cd tripwire-2.4.2.2-src ./configure –prefix=/usr/local/tripwire make && make install

协议出现后要设置几个密码 ,建议使用同一个密码;

Enter the site keyfile passphrase: ← 输入“site keyfile”口令(输入后不会显示),并且记住这个口令 Verify the site keyfile passphrase: ← 再次确认“site keyfile”口令

Enter the local keyfile passphrase: ← 输入“local keyfile”口令(输入后不会显示),并且记住这个口令 Verify the local keyfile passphrase: ← 再次确认“local keyfile”口令

Please enter your site passphrase: ← 输入“site keyfile”口令(输入后不会显示)

Please enter your site passphrase: ← 输入“site keyfile”口令(输入后不会显示)

配置文件定义

配置文件:定义数据库、策略文件和Tripwire可执行文件的位置: /usr/local/tripwire/etc/twcfg.txt 策略:定义检测的对象及违规时采取的行为: /usr/local/tripwire/etc/twpol.txt 数据库:用于存放生成的快照: /usr/local/tripwire/lib/tripwire/$(HOSTNAME).twd

另外,Tripwire为了自身的安全,防止自身被篡改,也会对自身进行加密和签名处理。其中,包括两个密钥: .site密钥:用于保护策略文件和配置文件,只要使用相同的策略和配置的机器,都可以使用相同的site密钥: /usr/local/tripwire/etcsite.key .local密钥:用户保护数据库和分析报告,这肯定不会重复的: /usr/local/tripwire/etc/$(HOSTNAME)-local.key

修改配置文件

vim twcfg.txt  ← 修改文本格式的Tripwire配置文件 LOOSEDIRECTORYCHECKING =false  ← 找到这一个行,将false的值变为true(不监测所属目录的数据完整性)  ↓ LOOSEDIRECTORYCHECKING =true   ← 变为此状态

REPORTLEVEL =3  ← 找到这一行,将3变为4(改变监测结果报告的等级)  ↓ REPORTLEVEL =4  ← 变为此状态

更新配置文件

./twadmin –create-cfgfile -S ../etc/site.key ../etc/twcfg.txt

更新策略文件

./twadmin –create-polfile -S ../etc/site.key ../etc/twpol.txt

4.更新数据库

当你更新了twpol.txt后需用此命令更新数据库

cd /usr/local/tripwire ./sbin/tripwire –update-policy –secure-mode low /usr/local/tripwire/etc/twpol.txt
Parsing policy file: /usr/local/tripwire/etc/twpol.txt
Please enter your local passphrase: ← 输入“local keyfile”口令
Please enter your site passphrase: ← 输入“site keyfile”口令

======== Policy Update: Processing section Unix File System.

======== Step 1: Gathering information for the new policy.

Wrote policy file: /usr/local/tripwire/etc/tw.pol
Wrote database file: /usr/local/tripwire/lib/tripwire/localhost.localdomain.twd

初始化数据

./tripwire --init

检查数据

./tripwire --check

查看报告

./twprint --print-report --twrfile ../lib/tripwire/report/test-20140821-142606.twr >/tmp/test20140821.txt

cat /tmp/test20140821.txt

每天你可以吧检查的报告以邮件的形式发送到你的邮箱

注册 Vultr VPS 送你10美金 免费玩4个月