|
|||||||||||||||||||||||||||||||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Tripwire
При запуске Tripwire читает конфигурационный файл и файл правил. Первый сообщает о том, где располагаются файлы и базы данных программы, а второй определяет, какие файлы и каталоги контролировать и какую информацию о них собирать. Информация, полученная программой в режиме инициализации, заносится в базу данных, которая шифруется. При последующих запусках информация из базы данных сравнивается с реальным состоянием системы. Это называется режимом сравнения. Программа сообщает о любых замеченных несовпадениях. Если выявлен несанкционированный доступ, необходимо исправить нарушения. Если же изменения являются следствием разрешенной деятельности, можно обновить базу данных, чтобы программа Tripwire больше не сообщала о них. Это делается в режиме обновления.
Рис.17.1. Принцип работы программы Tripwire
В конфигурационном файле программы Tripwire – /etc/tripwire/tw.cfg – задаются следующие переменные:
Таблица 17.1. Параметры настройкиTripwire
В файле правил Tripwire содержится список файлов и каталогов, для которых следует создавать идентификационные метки (подборка информации о файле или каталоге, включающая его размер, права доступа и номер индексного дескриптора, различные хеш-коды). С каждым файлом или каталогом связана метка свойств, определяющая, какие сведения должны включаться в идентификационную метку. Элементы файла правил разделяются на четыре категории: комментарии, правила, переменные и директивы. Правило задает имя объекта (файла, каталога или устройства) и определяет, изменение какого атрибута объекта должно контролироваться. Можно также потребовать от программы не контролировать некоторые объекты. С каждым объектом должно быть связано только одно правило. Правила могут быть двух типов: · обычные – заставляющие программу контролировать свойства определенного объекта. Формат правила:
имя_объекта -> маска_свойств;
Обычные правила могут дополняться одним или несколькими модификаторами: o rulename. Правило или группу правил можно снабдить меткой. Эти метки используются в процессе просмотра отчетов, позволяя упорядочить их произвольным образом. o emailto. Этот модификатор связывает один или несколько почтовых адресов с правилом или группой правил. o severity. Этот модификатор позволяет задать уровень важности правила или группы правил. Уровень важности служит фильтром при проверке целостности системы. Номера уровней находятся в интервале от – до 1000. Чем меньше номер, тем ниже важность. o recurse. Этот модификатор применяется только к каталогам и указывает на необходимость сканирования каталога и задает глубину сканирования (от 1 до 1000000). · исключающие – заставляющие программу Tripwire игнорировать объект. Формат правила:
!имя_объекта;
В общем случае контролю целостности подлежат следующие объекты: · системные исполняемые файлы и библиотеки, например, в каталогах /sbin и /lib; · системные конфигурационные файлы и каталоги, например /etc/syslog.conf, /etc/pamd, /etc/passwd и /etc/shadow; · системные журнальные файлы, например, в каталоге /var/log; · системные данные и файлы спулинга, например в каталоге /ave/spool; · программы защиты системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных (SSH, Bastille, Crack, CFS); · прикладные системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |