Întrebat cu privire la frecvența de utilizare Tripwire, totul depinde de importanța informațiilor și numărul de utilizatori care au acces la acea gazdă. În mod ideal, verificarea integrității sistemului trebuie să fie conectat în obiceiul de zi cu zi, cum ar fi, de exemplu, citirea e-mailuri. Mai puțin verificarea integrității sistemului, cu atât mai multe schimbări va trebui să exploreze.
Tripwire vine cu unele utilitati care sunt utilizate pentru a crea și menține o bază de date Tripwire, fișierul de configurare și a fișierelor de politică. Omul Echipa twintro afișează următoarele:
Tripwire (8) este utilizat pentru a crea o bază de date Tripwire, și a verifica integritatea sistemului de fișiere.
twadmin (8): utilizat pentru a crea, cripta și conducerea politicii Tripwire, fișiere de configurare și fișiere cheie.
twconfig (4): descrie fișierul de configurare
twpolicy (4) descrie fișierul de politici și specifică fișierele și directoarele, precum și metoda de scanare.
În timpul instalării, baza de date implicit va fi creat în / var / db / Tripwire. Acesta va stoca fișiere:
Ar trebui clarificat faptul că baza de date este inițializat folosind parametrii fișierului de politici. În timpul inițializării, Tripwire face un „instantaneu“ al tuturor fișierelor de sistem. Inspecția periodică a integrității sistemului, este posibil să se țină evidența fișierelor care au schimbat, și de ce.
În timpul instalării, baza de date a fost inițializat cu politicile de securitate standard. Pentru a verifica integritatea bazei de date ar trebui să utilizeze comanda
Raport numele fișierului va depinde de numele de gazdă și data creării raportului.
Aici este raportul Tripwire:
Raportul oferă o scurtă descriere a numărului de noi, șterse și modificate fișiere, deoarece sistemul de control trecut. În acest caz, s-a adăugat fișierul Tripwire și fișierul modificat în directorul root`a. Ceea ce urmează este un raport cu privire la fișierele modificate:
La sfârșitul raportului se va da o listă a tuturor erorilor. În acest caz - este erori Kerberos întâmpinate la instalarea Tripwire.
Raportul de mai sus este un exemplu, și nu prezintă nici anomalii, fie. Am repetat testul din nou, după:
- Creați un utilizator nou în sistem
- Eliminarea fișierului binar vârful
Acest raport ar trebui să arate modificările aduse sistemului. Datele relevante:
Observați cum au avut loc multe evenimente în sistem atunci când s-a adăugat utilizatorul. Modificările sunt făcute în fișierele passwd și master.passwd în baza de date de grup și copiile sale, bazele de date și spwd.db. pwd.db
Deoarece raportul conține data și ora modificările, puteți începe o investigație pe baza acestora. Pentru început, puteți examina fișierele jurnal sau oameni interviu încearcă să-și dea seama cine ar putea lucra la sistem la o anumită perioadă de timp.
În mod implicit, toate modificările sunt desemnate ca x. Acest lucru înseamnă că schimbările nu vor fi repetate atunci când este creat un nou record.
Politica standard utilizat până atunci. Următorul exemplu va demonstra unele dintre schimbările din fișierul de politică pentru a obține informații despre erori în raportul Tripwire
Când utstanovke Tripwire, fișierul de politică implicită a fost creată în /usr/local/etc/tripwire/tw.pol. Acest fișier este utilizat Tripwire în timp ce verificarea bazei de date. Nu poate fi editate direct, deoarece fișierul este criptat și semnat, chiar dacă există un fișier text în /usr/local/etc/tripwire/twpol.txt. Este necesar să se facă orice modificări, este în fișierul text, și apoi utilizați utilitarul pentru a face modificări în fișierul de politici.
Să începem prin examinarea conținutului fișierului / usr / / etc / Tripwire locale:
Rețineți că fișierul de politici (tw.pol) și fișierul de configurare (tw.cfg) sunt un tip de date. Fiecare dintre ele are echivalentul său sub forma unui fișier text (o copie a fișierului de politici - twpol.txt.bak).
Cel mai bun lucru pentru a face verificarea integrității imediat după schimbarea politicii, din cauza posibilității de conflicte în datele Tripwire de bază datorită modificărilor în unele dintre fișierele de la ultima verificare. Deși această metodă este incomod, este practic singura soluție care vă permite să evitați efectuarea de modificări în alte fișiere pentru a suprascrie un fișier de politică. În cazul unui fișier de politică de actualizare a eșuat, trebuie să verificați integritatea sistemului din nou, și apoi încercați din nou pentru a actualiza fișierul de politici.
S-ar putea fi o eroare de sintaxă, în cazul în care nu există nici o opțiune -S site.key.
Întrebat cu privire la frecvența de utilizare Tripwire, totul depinde de importanța informațiilor și numărul de utilizatori care au acces la acea gazdă. În mod ideal, verificarea integrității sistemului trebuie să fie conectat în obiceiul de zi cu zi, cum ar fi, de exemplu, citirea e-mailuri. Mai puțin verificarea integrității sistemului, cu atât mai multe schimbări va trebui să exploreze.
Pentru măsuri de precauție, este de dorit să fișierele de configurare text și rapoartele sunt stocate într-un hard disk și mass-media amovibile, cum ar fi dischete, CD-uri sau casete.