АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Tripwire

Читайте также:
  1. Замкнутая среда chroot

При запуске Tripwire читает конфигурационный файл и файл правил. Первый сообщает о том, где располагаются файлы и базы данных программы, а второй определяет, какие файлы и каталоги контролировать и какую информацию о них собирать. Информация, полученная программой в режиме инициализации, заносится в базу данных, которая шифруется. При последующих запусках информация из базы данных сравнивается с реальным состоянием системы. Это называется режимом сравнения. Программа сообщает о любых замеченных несовпадениях. Если выявлен несанкционированный доступ, необходимо исправить нарушения. Если же изменения являются следствием разрешенной деятельности, можно обновить базу данных, чтобы программа Tripwire больше не сообщала о них. Это делается в режиме обновления.

 

 

Рис.17.1. Принцип работы программы Tripwire

 

В конфигурационном файле программы Tripwire – /etc/tripwire/tw.cfg – задаются следующие переменные:

 

Таблица 17.1.

Параметры настройкиTripwire

 

Переменная Назначение
ROOT Задает каталог для служебных утилит: tripwire, twadmin, twprint, siggen
POLFILE Обязательная переменная, которая задает расположение файла правил
DBFILE Обязательная переменная, которая задает расположение баз данных программы
REPORTFILE Обязательная переменная, которая задает расположение отчетов программы
SITEKEYFILE Обязательная переменная, которая задает расположение файла общесистемного ключа
LOCALKEYFILE Обязательная переменная, которая задает расположение файла локального ключа
EDITOR Задает редактор, используемый в интерактивном режиме
LATEPROMPTING Если равна true, то идентификационная фраза будет запрашиваться в самую последнюю очередь
LOOSEDIRECTORYCHECKING Если равна fakse, программа будет сообщать об удалениях и добавлениях файлов, а также о соответствующих изменениях каталогов. Если равна true, некоторые избыточные отчеты не будут создаваться
MAILNOVIOLATIONS Если равна true, программа будет посылать почтовый отчет даже в отсутствие каких-либо изменений. Если равна false, отчеты не посылаются
EMAILREPORTLEVEL Задает уровень почтового отчета – от 0 до 4
REPORTLEVEL Задает уровень отчета для клманды twprint –print-level
MAILMETHOD Задает метод отправки почтового отчета – SMTP или SENDMAIL
SYSLOGREPORTING Если равна true, в системе Syslog будут регистрироваться следующие события: инициализация и обновление базы данных, завершение проверки целостности, изменение файла правил
MAILPROGRAM Задает программу, используемую для рассылки почтовых отчетов

 

В файле правил Tripwire содержится список файлов и каталогов, для которых следует создавать идентификационные метки (подборка информации о файле или каталоге, включающая его размер, права доступа и номер индексного дескриптора, различные хеш-коды). С каждым файлом или каталогом связана метка свойств, определяющая, какие сведения должны включаться в идентификационную метку.

Элементы файла правил разделяются на четыре категории: комментарии, правила, переменные и директивы.

Правило задает имя объекта (файла, каталога или устройства) и определяет, изменение какого атрибута объекта должно контролироваться. Можно также потребовать от программы не контролировать некоторые объекты. С каждым объектом должно быть связано только одно правило. Правила могут быть двух типов:

· обычные – заставляющие программу контролировать свойства определенного объекта. Формат правила:

 

имя_объекта -> маска_свойств;

 

Обычные правила могут дополняться одним или несколькими модификаторами:

o rulename. Правило или группу правил можно снабдить меткой. Эти метки используются в процессе просмотра отчетов, позволяя упорядочить их произвольным образом.

o emailto. Этот модификатор связывает один или несколько почтовых адресов с правилом или группой правил.

o severity. Этот модификатор позволяет задать уровень важности правила или группы правил. Уровень важности служит фильтром при проверке целостности системы. Номера уровней находятся в интервале от – до 1000. Чем меньше номер, тем ниже важность.

o recurse. Этот модификатор применяется только к каталогам и указывает на необходимость сканирования каталога и задает глубину сканирования (от 1 до 1000000).

· исключающие – заставляющие программу Tripwire игнорировать объект. Формат правила:

 

!имя_объекта;

 

В общем случае контролю целостности подлежат следующие объекты:

· системные исполняемые файлы и библиотеки, например, в каталогах /sbin и /lib;

· системные конфигурационные файлы и каталоги, например /etc/syslog.conf, /etc/pamd, /etc/passwd и /etc/shadow;

· системные журнальные файлы, например, в каталоге /var/log;

· системные данные и файлы спулинга, например в каталоге /ave/spool;

· программы защиты системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных (SSH, Bastille, Crack, CFS);

· прикладные системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)