 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Tripwire
|
Читайте также: |
При запуске Tripwire читает конфигурационный файл и файл правил. Первый сообщает о том, где располагаются файлы и базы данных программы, а второй определяет, какие файлы и каталоги контролировать и какую информацию о них собирать. Информация, полученная программой в режиме инициализации, заносится в базу данных, которая шифруется. При последующих запусках информация из базы данных сравнивается с реальным состоянием системы. Это называется режимом сравнения. Программа сообщает о любых замеченных несовпадениях. Если выявлен несанкционированный доступ, необходимо исправить нарушения. Если же изменения являются следствием разрешенной деятельности, можно обновить базу данных, чтобы программа Tripwire больше не сообщала о них. Это делается в режиме обновления.
Рис.17.1. Принцип работы программы Tripwire
В конфигурационном файле программы Tripwire – /etc/tripwire/tw.cfg – задаются следующие переменные:
Таблица 17.1.
Параметры настройкиTripwire
| Переменная | Назначение |
| ROOT | Задает каталог для служебных утилит: tripwire, twadmin, twprint, siggen |
| POLFILE | Обязательная переменная, которая задает расположение файла правил |
| DBFILE | Обязательная переменная, которая задает расположение баз данных программы |
| REPORTFILE | Обязательная переменная, которая задает расположение отчетов программы |
| SITEKEYFILE | Обязательная переменная, которая задает расположение файла общесистемного ключа |
| LOCALKEYFILE | Обязательная переменная, которая задает расположение файла локального ключа |
| EDITOR | Задает редактор, используемый в интерактивном режиме |
| LATEPROMPTING | Если равна true, то идентификационная фраза будет запрашиваться в самую последнюю очередь |
| LOOSEDIRECTORYCHECKING | Если равна fakse, программа будет сообщать об удалениях и добавлениях файлов, а также о соответствующих изменениях каталогов. Если равна true, некоторые избыточные отчеты не будут создаваться |
| MAILNOVIOLATIONS | Если равна true, программа будет посылать почтовый отчет даже в отсутствие каких-либо изменений. Если равна false, отчеты не посылаются |
| EMAILREPORTLEVEL | Задает уровень почтового отчета – от 0 до 4 |
| REPORTLEVEL | Задает уровень отчета для клманды twprint –print-level |
| MAILMETHOD | Задает метод отправки почтового отчета – SMTP или SENDMAIL |
| SYSLOGREPORTING | Если равна true, в системе Syslog будут регистрироваться следующие события: инициализация и обновление базы данных, завершение проверки целостности, изменение файла правил |
| MAILPROGRAM | Задает программу, используемую для рассылки почтовых отчетов |
В файле правил Tripwire содержится список файлов и каталогов, для которых следует создавать идентификационные метки (подборка информации о файле или каталоге, включающая его размер, права доступа и номер индексного дескриптора, различные хеш-коды). С каждым файлом или каталогом связана метка свойств, определяющая, какие сведения должны включаться в идентификационную метку.
Элементы файла правил разделяются на четыре категории: комментарии, правила, переменные и директивы.
Правило задает имя объекта (файла, каталога или устройства) и определяет, изменение какого атрибута объекта должно контролироваться. Можно также потребовать от программы не контролировать некоторые объекты. С каждым объектом должно быть связано только одно правило. Правила могут быть двух типов:
· обычные – заставляющие программу контролировать свойства определенного объекта. Формат правила:
имя_объекта -> маска_свойств;
Обычные правила могут дополняться одним или несколькими модификаторами:
o rulename. Правило или группу правил можно снабдить меткой. Эти метки используются в процессе просмотра отчетов, позволяя упорядочить их произвольным образом.
o emailto. Этот модификатор связывает один или несколько почтовых адресов с правилом или группой правил.
o severity. Этот модификатор позволяет задать уровень важности правила или группы правил. Уровень важности служит фильтром при проверке целостности системы. Номера уровней находятся в интервале от – до 1000. Чем меньше номер, тем ниже важность.
o recurse. Этот модификатор применяется только к каталогам и указывает на необходимость сканирования каталога и задает глубину сканирования (от 1 до 1000000).
· исключающие – заставляющие программу Tripwire игнорировать объект. Формат правила:
!имя_объекта;
В общем случае контролю целостности подлежат следующие объекты:
· системные исполняемые файлы и библиотеки, например, в каталогах /sbin и /lib;
· системные конфигурационные файлы и каталоги, например /etc/syslog.conf, /etc/pamd, /etc/passwd и /etc/shadow;
· системные журнальные файлы, например, в каталоге /var/log;
· системные данные и файлы спулинга, например в каталоге /ave/spool;
· программы защиты системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных (SSH, Bastille, Crack, CFS);
· прикладные системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных.
Поиск по сайту: