前陣子有個朋友的機器被駭客入侵了,雖然資料都救回來了,但是系統裡到底有沒有殘留的木馬其實很難講,除了用chkrootkit掃掃看有沒有木馬之外, 幫系統做一個指紋系統應該會比掃描木馬的結果來的正確,因為木馬千奇百怪,掃描軟體是不是可以正確掃出來其實還滿難說的,而如果替系統建立一個指紋資料 庫,對重要的檔案產生指紋編碼,當哪天檔案被人竄改時,我們也可以在第一時間察覺,避免威脅擴散。而這篇記錄要說明的就是tripwire的設定方式。網路上有很多關於tripwire的安裝及設定方法,但很神奇的,他們講的都是舊版的,新版的已經不是這樣安裝了,所以僅利用此篇文章紀錄安裝方式,以免日後忘了又找不到相關說明。
Tripwire是一個opensource的專案,不過也有商業版,目前就我所知只有商業版的支援windows系統,而open source的專案則僅適用於Unix-like系統,台灣目前沒有商業版的代理商。
- 先從http://sourceforge.net/projects/tripwire/下載最新版的tripwire,目前是
- 上傳到機器上之後,由於檔案是bz2壓縮的,所以請先用bunzip2解壓縮:
bunzip2 tripwire- - 再把tar檔案解開:
tar xvf tripwire- - 解開後進入tripwire安裝檔資料夾,使用configure設定要安裝的目的:
./configure --prefix=/usr/local/tripwire (讓它安裝在/usr/local底下) - 跑完後系統會告訴你是不是缺少什麼東西,沒有的話就直接輸入:
make clean; make - make之後,需要稍微修改一下install.cfg,這個檔案就位於<<安裝檔資料夾>>\install底下,找到TWMAILPROGRAM,然後將它指到你的sendmail主程式的目錄,例如:
if [ -z "$path_to_sendmail" ] ; then
TWMAILPROGRAM="/usr/sbin/sendmail"
else
TWMAILPROGRAM="${path_to_sendmail} -oi -t"
fi - 完成後就可以開始make install了,系統會出現授權條款,看完之後要輸入accept才能繼續安裝。
- 接下來要設定幾個密碼
Enter the site keyfile passphrase:
Enter the local keyfile passphrase: - 將資料庫初始化,執行以下指令對指紋資料庫進行第一次初始化
- /usr/local/tripwire/sbin/tripwire -m
- 檢查etc底下的twcfg.txt檔案,裡面包含了一些tripwire的設定
- 修改/usr/local/tripwire/etc底下的twpol.txt,這個檔案是tripwire附的設定範例檔,使用者可以針對需要檢測的資料夾進行設定,如果整各系統都要做指紋檔的話,將會花費很長的時間,我們可以針對較重要的資料夾進行控管。
- 修改完畢後存檔,利用以下的指令更新policy
/usr/local/tripwire/sbin/tripwire -m p -Z low ../etc/twpol.txt - 建立一個cron job,定期掃描系統,並將報告寄出
#!/bin/sh
/usr/local/tripwire/sbin/tripwire -m c -M <地址>> - 然後就看報告了,資訊化的背後最後處理的還是人啊。
2 則留言:
thx,
您好,我們是亞利安科技,是Tripwire在台灣的代理商,負責Tripwire銷售已超過七年,負責台灣、香港、中國區的銷售支援。
在整理資料時注意到您有做這方面的討論,目前Tripwire商業版已到7.1,若您需要最新的產品訊息及測試,歡迎與我連絡。
也可以到我門公司網站上了解訊息:http://www.ciphertech.com.tw
張貼留言