1. 实验记录
任务一和任务二:
①、查看当前用户信息。
任务六
⑧、配置tripwire策略并且更新和检测,删除明文配置信息。
更新策略的两种方式
⑨、添加用户达到改动文件效果进行测试和分析。
⑩、操作可信,更新基线数据库。
2. 思考题回答
1、如何设置一个用户属于多个组?
答:一个用户会可以有一个基本组,可以加入许多的扩展组。用usermod -a -G 组名 用户名 可以将用户加入该组中,使该组成为用户的扩展组。
2、系统的日志文件有哪些,是什么内容?如何查看rsyslog日志?
系统日志文件有cron、boot.log、maillog、wtmp等。cron日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。wtmp日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。boot.log日志文件记录了系统在引导过程中发生的事件。这些日志文件有的可以用cat命令查看,如多数为*.log的,但是有的须用相应的命令查看,如lastlog命令可以查看lastlog日志文件。
3、文件系统完整性检查的基本步骤有哪些?该功能可以应用在什么场景下?
答:如果没有先生成的基线数据库则需要先生成基线数据,当然在生成基线数据库之前要先配置好策略。定期的对生成新的数据信息及报告,如果是可靠操作则更新基线数据库。完整性检查其实就是一个映像与映像的对比,然后找出不同点即改动,如果改动合法,则将旧的映像更新为新的映像。映像可以理解为某一时刻的定格。
3. 实验体会
答:
在实验中有目录权限设置的部分,出现了一点错误,但是加深了我对目录权限设置的理解,rwx权限对于目录来说,r是可以列出(查看)目录里面文件名字,w是可以在目录中创建修改查看文件,x是可以进入该目录。对于目录来说有w权限没有x权限是意义不大的,能够进入目录是能够在目录里创建修改查看目录里文件的前提,道理就像别人允许你在别人家里随意修改东西,但是你连门都进不去你怎么改。
关于tripwire使用的实验让我了解了完整性检查的整个大体流程,同时查资料学习了tripwire的完整性检查的原理,拓展了自己的知识面。为了节约存储空间,一般构建映像(基线数据库)会采用散列函数,散列函数是一种单向性的压缩函数,所以能节省储存空间,同时操作效率也快。对tripwire的使用引发了我对市场上各种安全产品设计原理的兴趣,如基线安全扫描产品,云扫描监控产品等,我猜测它们的设计原理应该是类似的。