Ubuntu tripwire 配置安装

wuliws

Ubuntu tripwire 配置安装
安装系统：ubuntu12.04
本文档有些内容是引用其他同僚的  如有侵权 欢迎联系

原理
Tripwire可以对要求校验的系统文件进行类似md5的运行，而生成一个唯一的标识，即“快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后，再次运行Tripwire，其会进行前后属性的对比，并生成相关的详细报告。
Tripwire由下面部分组成：
1、配置文件：定义数据库、策略文件和Tripwire可执行文件的位置：
/etc/tripwire/twcfg.txt
2、策略文件：定义检测的对象及违规时采取的行为：
/etc/tripwire/twpol.txt
3、数据库文件：用于存放生成的快照：
/var/lib/tripwire/$(HOSTNAME).twd

Tripwire为了自身的安全，防止自身被篡改，也会对自身进行加密和签名处理。其中，包括两个密钥：
1、site密钥：用于保护策略文件和配置文件，只要使用相同的策略和配置的机器，都可以使用相同的site密钥：
/etc/tripwire/site.key
2、local密钥：用户保护数据库和分析报告
/etc/tripwire/$(HOSTNAME)-local.key
软件安装
Apt-get install tripwire

使用local密钥的口令初始化数据库
/usr/sbin/tripwire –init
如果出现等报错 建议修改twopl文件  将不需要监控的项目 删除或注释

修改配置文件
Apt-get 安装的 tripwire 配置文件默认目录为 /etc/tripwire/目录下

Rm –rf tw.cfg   删除已经生成的配置文件

Rm –rf tw.pol   删除已经生成的策略文件
Vim twcfg.txt

ROOT          =/usr/sbin   命令
POLFILE       =/etc/tripwire/tw.pol  策略文件
DBFILE        =/var/lib/tripwire/$(HOSTNAME).twd   数据库文件
REPORTFILE    =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE   =/etc/tripwire/site.key  site密钥文件
LOCALKEYFILE  =/etc/tripwire/$(HOSTNAME)-local.key   local 密钥文件
EDITOR        =/usr/bin/editor
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL   =3
SYSLOGREPORTING =true
MAILMETHOD    =SMTP    邮件使用的协议
SMTPHOST      =localhost  主机
SMTPPORT      =25       端口
TEMPDIRECTORY =/tmp      临时文件存放目录
修改策略文件  把不需要监控的项目 删除
            recurse=n就是定义递归深度，0为目录本身这一层。
例如：
             /etc/rc6.d              -> $(SEC_BIN) （recurse=n）;

利用site密钥对twcfg.txt进行签名，并将签名后的文件存为tw.cfg
twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \
--site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt
会提示输入site.key的口令

利用site密钥对twpol.txt进行签名，并将签名后的文件存为tw.pol
twadmin --create-polfile --cfgfile /etc/tripwire/tw.cfg \
--site-keyfile /etc/tripwrie/site.key /etc/tripwire/twpol.txt
重新初始化
/usr/sbin/tripwire --init
进行测试
root@weiliu:/etc# chmod 777 passwd
root@weiliu:/etc# /usr/sbin/tripwire --check
   更新数据库文件
      tripwire --update --twrfile /var/lib/tripwire/report/*****.twr（最新的）

   常用命令
1.       可以对指定的文件或目录检测：
tripwire -m c /bin/cp /etc
2.       可以对某一规则检测：
tripwire -m c --rule-name "My check files"
3.       还可以对某一等级检测：
tripwire --check --severity 50
4.       在使用site.key对策略文件和配置文件加密和签名后，为安全起见，都会把明文的twcfg.txt和twpol.txt删掉。但如果您需要修改策略和配置文件，这还是必须要用到这两个文件的。
所以，可以使用下面的命令恢复：
cd /etc/tripwire
twadmin --print-cfgfile > twcfg.txt
twadmin --print-polfile > twpol.txt
5.       查看数据库文件
twprint --print-report --twrfile /var/lib/tripwire/liuwei.twd | more
6．Database Initialization:  tripwire [-m i|--init] [options]
Integrity Checking:     tripwire [-m c|--check] [object1 [object2...]]
Database Update:      tripwire [-m u|--update]
Policy Update:         tripwire [-m p|--update-policy] policyfile.txt
Test:                 tripwire [-m t|--test] --email address
    7．创建site密钥，为安全起见，会提示输入口令
twadmin --generate-keys --site-keyfile /etc/tripwire/site.key
创建local密钥，同样的，也会提示输入口令
twadmin --generate-keys --site-keyfile /etc/tripwire/`hostname`-local.key