簡介

Tripwire 是目前最為著名的Unix下文件系統(tǒng)完整性檢查的軟件工具，這一軟件采用的技術(shù)核心就是對每個要監(jiān)控的文件產(chǎn)生一個數(shù)字簽名，保留下來。當(dāng)文件現(xiàn)在的數(shù)字簽名與保留的數(shù)字簽名不一致時，那么現(xiàn)在這個文件必定被改動過了。

軟件特點

監(jiān)視和檢查系統(tǒng)發(fā)生的變化能夠及時地幫助你發(fā)現(xiàn)攻擊者的入侵，它們能夠很好地提供系統(tǒng)完整性的檢查。

用Tripwire建立數(shù)據(jù)完整性監(jiān)測系統(tǒng)。雖然它不能抵御黑客攻擊以及黑客對一些重要文件的修改，但是可以監(jiān)測文件是否被修改過以及哪些文件被修改過，從而在被攻擊后有的放矢的策劃出解決辦法。

Tripwire原理

Tripwire的原理是Tripwire被安裝、配置后，將當(dāng)前的系統(tǒng)數(shù)據(jù)狀態(tài)建立成數(shù)據(jù)庫，隨著文件的添加、刪除和修改等等變化，通過系統(tǒng)數(shù)據(jù)現(xiàn)狀與不斷更新的數(shù)據(jù)庫進行比較，來判定哪些文件被添加、刪除和修改過。正因為初始的數(shù)據(jù)庫是在Tripwire本體被安裝、配置后建立的原因，我們務(wù)必應(yīng)該在服務(wù)器開放前，或者說操作系統(tǒng)剛被安裝后用Tripwire構(gòu)建數(shù)據(jù)完整性監(jiān)測系統(tǒng)。

Tripwire的基本操作

一個配置文件(tw.config)描述監(jiān)測哪些目錄和文件，還有一個基線簽名數(shù)據(jù)庫產(chǎn)生一個有關(guān)改動的詳細報告。

當(dāng)?shù)谝淮芜\行Tripwire時，程序創(chuàng)建一個簽名的基線數(shù)據(jù)庫。下一次運行時，它使用tw. config文件產(chǎn)生一個新的簽名數(shù)據(jù)庫。然后，它比較兩個數(shù)據(jù)庫，實施用戶定義的任何選項屏蔽(排除經(jīng)常更改的文件)，最后通過電子郵件或顯示器來為用戶在終端上輸出一個可讀的報告。

Tripwire有四種操作模式：數(shù)據(jù)庫生成、完整性檢查、數(shù)據(jù)庫更新或交互式更新。

數(shù)據(jù)庫生成模式產(chǎn)生一個基線數(shù)據(jù)庫，為未來的比較打下基礎(chǔ)。

完整性檢查是Tripwire的主要模式，把當(dāng)前文件簽名和基線數(shù)據(jù)庫進行比較來進行檢查。

有兩種更新模式允許用戶調(diào)整Tripwire數(shù)據(jù)庫以消除不感興趣的結(jié)果以及應(yīng)付正常的系統(tǒng)變化。例如當(dāng)用戶帳號正常增加或刪除時，不希望Tripwire重復(fù)報告/etc/passwd文件被改動了。

默認支持報告方式

Syslog

Mail

注意事項

有一點要注意，上述保障機制的重點在于數(shù)據(jù)庫內(nèi)的數(shù)字簽名，如果數(shù)據(jù)庫是不可靠的，則一切工作都喪失意義。所以在Tripwire生成數(shù)據(jù)庫后，這個庫文件的安全極為重要。比較常見的做法是將數(shù)據(jù)庫文件， Tripwire二進制文件，配置文件單獨保留到"可拿走并鎖起來"的質(zhì)上，如光盤，將上述文件復(fù)制到光盤后，關(guān)閉寫保護口，鎖到保險柜中。這樣即使侵入者拿到盤也無計可施。除這種辦法外，利用PGP等加密工具對上述關(guān)鍵文件進行數(shù)字簽名也是一個很好的選擇。

當(dāng)然，當(dāng)管理員自身對某些文件更動時, Tripwire的數(shù)據(jù)庫必然是需要隨之更新的， Tripwire考慮到了這一點，它有四種工作模式：數(shù)據(jù)庫生成，完整性檢查，數(shù)據(jù)庫更新。交互更新。當(dāng)管理員更動文件后，可運行數(shù)據(jù)庫更新模式來產(chǎn)生新的數(shù)據(jù)庫文件。

Tripwire只支持英文系統(tǒng)

單文件大于3G的時候執(zhí)行tripwire –check 會出錯，具體原因不明。

Tripwire Install

OS：CentOS

# http://sourceforge.net/projects/tripwire/

# install sendmail, wget

yum -y install gcc gcc-c++

cd /home

wget http://jaist.dl.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2

tar -xf tripwire-2.4.2.2-src.tar.bz2

cd tripwire-2.4.2.2-src

./configure --prefix=/home/tripwire

#在make install 期間，需要手動鍵入ENTER，閱讀前言然后輸入accept，接下來需要手動設(shè)置3組密匙口令 (建議：可以3組選同一個密碼，請設(shè)置一個強力的口令，然后請牢記)

make && make install

# create database

/home/tripwire/sbin/tripwire --init

# 執(zhí)行檢查

/home/tripwire/sbin/tripwire --check

#設(shè)置 crontab

crontab -e

00 10 * * * su /home/tripwire/sbin/tripwire --check|mail -s "tripwire report" example@xiaomi.com

后續(xù)擴展:

收集多臺tripwire報告，集中處理告警信息發(fā)送郵件通知相關(guān)人員，并按照每天的報告進行存檔，方便日后查看。

最后相關(guān)人員收到的郵件如下:

標(biāo)題：Tripwire Report
HI,All
文件完整性監(jiān)控狀態(tài)
hostname1 正常
hostname2 正常
hostname3 正常
hostname4 異常
hostname5 正常
hostname6 異常
異常的服務(wù)器請拷貝主機名，訪問下面URL進行搜索查看詳細信息。
http://tripwire.report.xiaomi.com/tripwire_2013-12-4.txt