CloudLite

8 (495) 784-61-39

Array
(
    [ELEMENT_CODE] => Kak_ustanovit_i_nastroit_tripwire_dlya_kontrolya_celostnosti_fajlov
)

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

КАК УСТАНОВИТЬ И НАСТРОИТЬ TRIPWIRE ДЛЯ КОНТРОЛЯ ЦЕЛОСТНОСТИ ФАЙЛОВ





 Сегодня расскажем, как установить и настроить утилиты tripware для проверки целостности файлов и каталогов файловой системы Linux.

Tripwire - специальный инструмент для контроля любых изменений определенного набора файлов. Может использоваться системными администраторами, инженерами и обычными пользователями.

Tripwire отправляет данные о поврежденных или подделанных файлах при регулярной работе с системными файлами, так что есть возможность использовать все доступные меры по борьбе своевременно.

Установка утилиты осуществляется при помощи пакетного менеджера, например yum:

yum install tripwire -y

Теперь следует выполнить начальную конфигурацию и создать ключи. Запустите такой скрипт и несколько раз повторите пароли:

tripwire-setup-keyfiles

Внимание: site key – это ключ, предназначенный для защиты конфигурационных файлов. Local key - ключ, предназначенный для запуска бинарных файлов.

Вывод:

[...] Creating key files... [...] Enter the site keyfile passphrase: <введите пароль для site keyfile> Verify the site keyfile passphrase: <подтвердите пароль site keyfile> Generating key (this may take several minutes)...Key generation complete. [...] Enter the local keyfile passphrase: <введите пароль для local keyfile> Verify the local keyfile passphrase: <подтвердите пароль local keyfile> Generating key (this may take several minutes)...Key generation complete. ---------------------------------------------- Signing configuration file... Please enter your site passphrase: <введите пароль для site keyfile> Wrote configuration file: /etc/tripwire/tw.cfg [...] Signing policy file... Please enter your site passphrase: <введите пароль для site keyfile> Wrote policy file: /etc/tripwire/tw.pol [...]

Включите скрипт инициализации, на это может потребоваться несколько минут. Tripwire при инициализации базы данных генерирует список объектов файловой системы. Этот список является необходимой базой для мониторинга целостности:

tripwire --init

Вывод:



Please enter your local passphrase: <введите пароль для local keyfile>

Parsing policy file: /etc/tripwire/tw.pol

Generating the database...

*** Processing Unix File System ***

### Warning: File system error.

### Filename: /usr/sbin/fixrmtab

### No such file or directory

### Continuing...

[...]


/etc/tripwire/twpol.txt - это текстовые политики Tripwire, в которых следует указать, какие файлы и каталоги нужно контролировать. Учтите, что для редактирования этого файла необходим опыт. По умолчанию использован рабочий пример, на базе которого вы можете провести свою настройку. Для открытия файла примените текстовый редактор, например vi:

vi /etc/tripwire/twpol.txt

Выполните такую команду для реализации изменений:

tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt

Вывод:



  Parsing policy file: /etc/tripwire/twpol.txt

Please enter your local passphrase: <введите пароль для local keyfile>

Please enter your site passphrase: <введите пароль для site keyfile>

======== Policy Update: Processing section Unix File System.

======== Step 1: Gathering information for the new policy.

### Warning: File system error.

### Filename: /usr/sbin/fixrmtab

### No such file or directory

### Continuing...

[...]

======== Step 2: Updating the database with new objects.

======== Step 3: Pruning unneeded objects from the database.

Wrote policy file: /etc/tripwire/tw.pol

Wrote database file: /var/lib/tripwire/centos7x64.twd


Для проверки наличия изменений в файловой системе запустите эти опции:

tripwire --check --interactive

Например, из вывода о создании нового каталога documents и добавления в него файла test.txt, а также изменения /etc/tripwire/tw.pol:



[...]

Modified:

[x] "/etc/tripwire/tw.pol"

-------------------------------------------------------------------------------

Rule Name: Root config files (/root)
Severity Level: 100

-------------------------------------------------------------------------------
Remove the "x" from the adjacent box to prevent updating the database

with the new values for this object.

Added:

[x] "/root/documents"

[x] "/root/documents/test.txt"

Modified:

[x] "/root"

[...]


Создание отчетов автоматически

Для регулярного автоматического создания и сохранения отчетов потребуется настройка планировщика Cron.

Запустите файл с расписанием:

crontab -e

Внесите строку с описанием регулярностм запуска проверки целостности, например, каждый день в 0:30 и 12:30:

30 */12 * * * tripwire --check --interactive > <имя_файла>$(date +"%H:%M:%S_%d-%m-%Y")

Например:

30 */12 * * * tripwire --check --interactive > system-$(date +"%H:%M:%S_%d-%m-%Y")

Не нашли ответа на Ваш вопрос? Напишите нам!

techsupport@cloudlite.ru - служба техподдержки

sales@cloudlite.ru - вопросы по услугам, оплате, документам и партнерству

partner@cloudlite.ru - партнерская программа