Воскресенье, 29.06.2025, 05:30
Приветствую Вас Гость | RSS
UBUNTOLOG
Главная | Каталог статей | Регистрация | Вход
Форма входа

Меню сайта
Категории раздела
Server [44]
WEB [14]
Все что связанно с web технологиями
Desktop [11]
Все что связанно с рабочей станцией
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    		•
    Главная » Статьи » Server
    Мониторинг файловой системы с помощью Tripwire

    Установка

    Первым шагом, нужно установить репозиторий EPEL, он часто распространенный и его часто используют.


    yum install epel-release


    yum install tripwire


    Теперь создайте файл ключей:

    tripwire-setup-keyfiles


    Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt. Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.Когда настройка программы завершена, следует её инициализировать:


    tripwire --init


    Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.

    Настройка политики в Tripwire.

    Вы можете отключить некоторые проверки с помощью «#» где нам выдало «Нет такого файла или каталога», когда мы сделали инициализацию политик.


    vim /etc/tripwire/twpol.txt


    Обновление файла политики.


    tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt


    Чтобы проверить наличие изменений в файловой системе используйте следующие опции:


    tripwire --check --interactive


    Все отчёты сохраняются в директории /var/lib/tripwire/report/, их можно просмотреть командой:


    twprint --print-report --twrfile /var/lib/tripwire/report/test-20170618-181714.twr

    Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:


    tripwire --check


    И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt. Это повысит безопасность системы.

    Настройка Email-уведомлений

    Данное руководство показывает, как настроить tripwire, чтобы он запускался ежедневно и присылал электронные уведомления. В процессе настройки можно также научиться обновлять базу данных после внесения изменений в систему.

    Проверьте возможность данной системы отправлять отчеты tripwire по почте. Данный отчет будет содержать информацию об изменениях и предупреждения, поскольку только что было установлено новое программное обеспечение, о чем tripwire не был предупрежден:

    sudo tripwire --check | mail -s "Tripwire report for `uname -n`" ваш_email@domain.com


    Теперь подтвердите внесенные изменения программного обеспечения путем интерактивной проверки, что обновит базу данных.


    sudo tripwire --check --interactive


    Это запустит обычную процедуру проверки, но в конце данная процедура не выводит отчет на экран, а копирует его в текстовый файл и открывает в редакторе по умолчанию.

    Данный отчет предоставляет подробную информацию о каждом измененном файле, что чрезвычайно полезно в случае возникновения реальных проблем безопасности, но на данный момент она, наверное, не слишком важна.

    Полезную информацию можно найти в начале отчета. После короткого вступления находятся строки с флаговыми кнопками для каждого из добавленных или измененных файлов:


    Rule Name: Other binaries (/usr/sbin)Severity Level: 66-------------------------------------------------------------------------------Remove the "x" from the adjacent box to prevent updating the databasewith the new values for this object.Added:[x] "/usr/sbin/maidag"Modified:[x] "/usr/sbin". . .


    Данные флаговые кнопки указывают на необходимость обновить базу данных, чтобы активировать изменения в файлах. Проверьте каждое окошко с меткой «х» и убедитесь, что со всеми внесенными изменениями все в порядке.

    Заметив ошибку, уберите метку «х»; в таком случае указанный файл не будет обновлен в базе данных. При следующем запуске tripwire данный файл снова будет отмечен флажком.

    Указав, какие изменения нужно внести в БД, сохраните и закройте файл.

    На данном этапе будет запрошен фразовый пароль, чтобы tripwire мог обновить файлы базы данных.

    В случае если все изменения были приняты, то заново запрошенный отчет будет намного короче, а список изменений будет пуст.


    Кроме того, отправку отчётов на почту можно настроить в файле политик twcfg.txt. Для каждого набора правил, после строки с «severity =» необходимо прописать «emailto =» и указать почту для уведомлений.


    (

    rulename = "Kernel Administration Programs",

    severity = $(SIG_HI),

    emailto = alert@sysadmin.pm

    )

    Автоматическое создание отчетов

    Для того, чтобы отчеты регулярно автоматически создавались и сохранялись, необходимо настроить планировщик Cron.

    Откройте файл с расписанием:


    crontab -e


    Внесите строку описывающую регулярность запуска проверки целостности.


    30 3 * * * /usr/sbin/tripwire --check | mail -s "Tripwire report for `uname -n`" ваш_email@domain.com

    Категория: Server | Добавил: Vyacheslav (29.07.2019)
    Просмотров: 266 | Рейтинг: 0.0/0
    Всего комментариев: 0
    Имя *:
    Email *:
    Код *:
    Copyright VR © 2025
    Сделать бесплатный сайт с uCoz