tripwire對每個檔案生成相應數字簽名,並將這些結果儲存在自己的資料庫中,生成乙個唯一的標識,即「快照」snapshot。當懷疑系統被入侵時,檔案的大小、inode號、許可權、時間等任意屬性被修改後,再次執行tripwire,可由tripwire根據先前生成的,資料庫檔案來做一次數字簽名的對照,如果檔案被替換,則與tripwire資料庫內相應數字簽名不匹配。
目標主機安裝:tripwire–redhat系統自帶,需要安裝epol源,centos7上可以直接安裝:
安裝tripwire——yum install tripwire
tripwire使用2個關鍵檔案。— tripwire為了自身的安全,防止自身被篡改
site-key:它用於保護tripwire配置。 因此,除非我們再次生成配置,否則對tripwire配置所做的任何更改都不會生效,我們會提示您輸入「site-key」密碼。
local-key:它用於驗證tripwire二進位制檔案。 當我們想要更新tripwire系統資料庫時,我們需要執行tripwire命令,並且會提示我們輸入』local-key』的密碼。
安全起見,安裝完tripwire後配置完畢後會可以刪除明文的twcfg.txt和twpol.txt,但是如果用兩個秘鑰檔案有加密過報告則需要恢復此兩個檔案:
twadmin --print-cfgfile > twcfg.txt
twadmin --print-polfile > twpol.txt
恢復完畢後再init初始化資料庫即可。
#twprint --print-report --twrfile /var/lib/report/report.twr
#輸出到當前螢幕
#twprint --print-report --twrfile /var/lib/report/report.twr - >myreport.txt
#輸出到本文檔案–考慮傳送此文字檔案給郵件接受者,已達到監控審計目的
#twprint --print-report --report-level 4 --twrfile /var/lib/report/report.twr
#根據指定報個等級輸出
)
for i in
$(grep -i filename none.txt |
cut -f2 -d:);do
sed -i.bak "s|\($i\) |#\\1|g" /etc/tripwire/twpol.txt;
done
然後檢查不包括none.txt檔案內的檔案:
tripwire --check |grep -i filename > none.txt
完整性檢查
當我們想窮舉乙個型別的所有可能值時,當可能值過多,不免會遺漏過多的東西。通常我們窮舉乙個值的所有可能,我們會採用switch或者if else,當然,這是可行的,下面看乙個if else例子 function test p 1 2 else if p 2 當p的型別為更多的聯合型別的時候,我們會寫更...
OSSEC文件 完整性檢查
翻譯 完整性檢查 syscheck是ossec內部完整性檢查過程的名稱。它定期執行以檢查是否有任何配置的檔案 或windows上的登錄檔條目 發生了變化。為什麼完整性檢查?有多種型別的攻擊和許多攻擊向量,但是它們都有一種獨特之處 它們留下痕跡,並且總是以某種方式改變系統。從修改一些檔案的病毒到改變核...
php中檢查email完整性
if eregi 0 9a z 0 9a z 0 9a z a z email 在這句話裡,首先是應用了乙個eregi函式,這個函式還算好理解。隨便找本書,就能給你一段解釋 語法 int ereg string pattern,string string,array regs 返回值 整數 陣列 本...