成功编译Unix--Tripwire,我们准备开始对需要监控的文件进行扫描,以生成Unix--Tripwire数据库,在Unix--Tripwire 的src目录下:如下操作。
/tripwire -init,则系统会根据tw.conf.sunos5文件内的设置,开始扫描并生成相应的数据库,上面提到,数据库文件的路径是在第二步configh中设置的,在本例中为/var/tripwire,我们得到了名为tw.db_secu.Unix.com的数据库文件。
建议此时将Unix--Tripwire可执行文件,数据库文件,配置文件COPY到软盘等地方,放到安全的地方。以后需要安全鉴别时直接在软盘上执行即可。
测试
数据库生成了,我们来测试一下吧,首先我们在根下touch生成一个goadd文件,其次我们把根下的.cshrc文件做一下改动,在里面加入几个#注释号。然后我们来运行一下Unix--Tripwire看如何:
- / Tripwire -c ./tw.config.sunos5 -d ./tw.db_secu.Unix.com
- Tripwire(tm) ASR (Academic Source Release) 1.3.1
- File Integrity Assessment Software
- (c) 1992, Purdue Research Foundation, (c) 1997, 1999 Tripwire
- Security Systems, Inc。 All Rights Reserved。 Use Restricted to
- Authorized Licensees。
- ### Phase 1: Reading configuration file
- ### Phase 2: Generating file list
- ./tripwire: /.profile: No such file or directory
- ./tripwire: /kernel/Unix: No such file or directory
- ### Phase 3: Creating file information database
- ### Phase 4: Searching for inconsistencies
- ###
- ### Total files scanned: 4437
- ### Files added: 1
- ### Files deleted: 0
- ### Files changed: 1
- ###
- ### Total file violations: 2
- ###
- added: -rw-r--r-- root 0 Jul 3 18:45:31 2000 /goadd
- changed: -r--r--r-- root 669 Jul 3 18:46:15 2000 /.cshrc
- ### Phase 5: Generating observed/expected pairs for changed files
- ###
- ### Attr Observed (what it is) Expected (what it should be)
- ### =========== ============================= =============================
- /.cshrc
- st_size: 669 668
- st_mtime: Mon Jul 3 18:46:15 2000 Mon Jul 3 09:00:41 2000
- st_ctime: Mon Jul 3 18:46:15 2000 Mon Jul 3 09:00:41 2000
- md5 (sig1): 3z9gKjlZGq5GbeWOxpYaF9 1Z7K0n3ZKAyuPpAZB1G8uq
- snefru (sig2): 1vCDeMR45lpRCChmDithiW 1oRYPpQ:oZA6hVx6Zi4.NG
可以看到,系统运行经过了5个步骤,首先读取配置文件,其次生成配置文件中设置为需要监控,但实际并不存在的文件列表。第三部生成文件信息库,第四步报告检查情况。
我们看到共扫描了4437个文件,其中有一个文件是新增加的,有一个文件发生了改变。在下面它列出了这两个文件-正是我们做了手脚的文件!在最后一步Unix--Tripwire将发生了改变的文件现在字节数,生成时间,修改时间, md5, snefru签名及数据库中的记录对比列出,是不是很爽?
上面我们讲到的是Unix--Tripwire的主要功能,在命令行状态下敲入tripwire -h 就会有其它使用参数的介绍,有兴趣的管理员不妨一试.
【编辑推荐】
