Tripwire是一款开放源码的完整性检查工具,Tripwire会对文件或目录状态生成唯一的标识(又称为 "快照"),并将其存放起来以备后用。当Tripwire程序运行时,与快照比较,如果发现不匹配的话,它就报告系统管理人员文件已经被修改。
通过对以上运行机制的了解我们不难发现,完整性检查工具的安装时机非常重要,最好是在交付用户使用和连入网络之前的Linux系统初装时进行。因为完整性检查工具只有保留了系统文件的初始状态(快照),才能确保系统文件的完整性;如果在系统使用一段时间后再取其快照的话,它很可能已经不再是原系统文件的映象(如已经遭到破坏),所以这时的完整性检测的可靠性已经打了折扣
实验环境
centos-5.8
实验软件
gcc gcc-c++ make wget
tripwire-2.4.2-src.tar.bz2
软件安装
yum install -y gcc gcc-c++ make wget
tar jxvf tripwire-2.4.2-src.tar.bz2
cd tripwire-2.4.2-src
./configure --prefix=/usr/local/tripwire
make
make install
Press ENTER to view the License Agreement. q跳过
license agreement. [do not accept] accept 注册信息
Continue with installation? [y/n] y
Enter the site keyfile passphrase: 输入密码
Verify the site keyfile passphrase: 二次确认
Enter the local keyfile passphrase: 输入密码和第一次的一样
Verify the local keyfile passphrase:
Please enter your site passphrase:
这样tripwire就安装完毕了
配置
cd /usr/local/etc/
ll
total 44
-rw-r----- 1 root root 931 Nov 26 14:49 localhost.localdomain-local.key
-rw-r----- 1 root root 931 Nov 26 14:49 site.key
-rw-r----- 1 root root 4586 Nov 26 14:49 tw.cfg
-rw-r----- 1 root root 516 Nov 26 14:49 twcfg.txt
-rw-r----- 1 root root 4159 Nov 26 14:49 tw.pol
-rw-r----- 1 root root 13715 Nov 26 14:49 twpol.txt
twadmin --create-cfgfile --cfgfile tw.cfg --site-keyfile site.key twcfg.txt
twadmin --create-polfile –cfgfile tw.cfg --site-keyfile site.key twpol.txt
对这两个文件做签名处理
tripwire --init 策略初始化
tripwire --check 初始化检查
本文转自 mailfile 51CTO博客,原文链接:http://blog.51cto.com/mailfile/1332335,如需转载请自行联系原作者
