系统完整性检查(转)

最新推荐文章于 2023-10-06 22:44:58 发布
最新推荐文章于 2023-10-06 22:44:58 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: linux问题 文章标签: 数据库 file database report processing unix
一、      tripwire
1、        tripwire运行原理
Tripwire是一款开放源码的完整性检查工具,Tripwire会对文件或目录状态生成唯一的标识(又称为 "快照"),并将其存放起来以备后用。当Tripwire程序运行时,与快照比较,如果发现不匹配的话,它就报告系统管理人员文件已经被修改。
 
通过对以上运行机制的了解我们不难发现,完整性检查工具的安装时机非常重要,最好是在交付用户使用和连入网络之前的Linux系统初装时进行。因为完整性检查工具只有保留了系统文件的初始状态(快照),才能确保系统文件的完整性;如果在系统使用一段时间后再取其快照的话,它很可能已经不再是原系统文件的映象(如已经遭到破坏),所以这时的完整性检测的可靠性已经打了折扣。
 
2、Tripwire的组成
Tripwire主要由策略和数据库组成。策略不仅指出Tripwire应检测的对象即文件和目录,而且还规定了用于鉴定违规行为的规则。数据库则用来存放策略中规定的检测对象的快照。只要建立了策略和数据库,我们就可以随时用快照来比较当前的文件系统,然后生成一个完整性检测报告,从而判断系统的完整性是否受到攻击。除了策略和数据库外,Tripwire还有一个配置文件,用以控制数据库、策略文件和Tripwire可执行程序的位置等。
 
为了防止被篡改,Tripwire对其自身的一些重要文件进行了加密和签名处理。这里涉及到两个密钥:site密钥和local密钥。其中,site用于保护策略文件和配置文件,如果多台机器具有相同的策略和配置的话,那么它们就可以使用相同的site密钥;
local用于保护数据库和报告,因此不同的机器必须使用不同的local密钥。
 
3、安装tripwire
Tripwire的下载
 
# tar xvf tripwire-2.4.2-src.tar.bz2
# cd tripwire-2.4.2-src
# ./configure
# make
# make install
当出现:
 

时按回车继续
接下来是一堆说明文档,直接按“q”退出继续
出现:
 

输入”accept”继续
出现:
 

是一些文件路径等,输入“y”
出现:
 

输入一个密钥用作site的,这里我输入了:123456
 

再次输入一次确认
 

输入local密钥,我还是选择了:123456
 

输入刚的site密钥:123456
 

这里也是
这样就完成了tripwire的安装
 
4、配置tripwire
# cd /usr/local/etc/
# ll
total 44
-rw-r----- 1 root root   931 May 30 19:16 centos-64-local.key
-rw-r----- 1 root root   931 May 30 19:16 site.key
-rw-r----- 1 root root 4586 May 30 19:17 tw.cfg
-rw-r----- 1 root root   504 May 30 19:16 twcfg.txt
-rw-r----- 1 root root 4159 May 30 19:17 tw.pol
-rw-r----- 1 root root 13703 May 30 19:17 twpol.txt
 
(1)其中配置文件tw.cfg<site加密过>由twcfg.txt生成<默认存在>
      策略文件tw.pol<site加密过>由twpol.txt生成,如果修改过策略,需重新生成此文件<默认存在>
 
(2)签名此2文件命令:
配置文件:
# twadmin --create-cfgfile --cfgfile tw.cfg --site-keyfile site.key twcfg.txt
策略文件:
# twadmin --create-polfile –cfgfile tw.cfg --site-keyfile site.key twpol.txt
 
(3)编辑需要监控的文件系统
# vi twpol.txt
62 Device        = +pugsdr-intlbamcCMSH ;
     63 Dynamic       = +pinugtd-srlbamcCMSH ;
     64 Growing       = +pinugtdl-srbamcCMSH ;
     65 IgnoreAll     = -pinugtsdrlbamcCMSH ;
     66 IgnoreNone    = +pinugtsdrbamcCMSH-l ;
     67 ReadOnly      = +pinugtsdbmCM-rlacSH ;
     68 Temporary     = +pugt ;
这些是指定动作
 
# Tripwire Binaries
      (
        rulename = "Tripwire Binaries",
      )
      {
        $(TWBIN)/siggen                      -> $(ReadOnly) ;
        $(TWBIN)/tripwire                    -> $(ReadOnly) ;
        $(TWBIN)/twadmin                     -> $(ReadOnly) ;
        $(TWBIN)/twprint                     -> $(ReadOnly) ;
      }
这些是监控目录的书写格式,比如我只想监控/usr/local/apache2/htdocs目录
 
那就删除其他所有的监控目录<其他相关配置需保留>,添加如下:
# Tripwire Binaries
      (
        rulename = "/usr/local/apache2/htdocs",
      )
      {
        /usr/local/apache2/htdocs                      -> $(ReadOnly) ;
      }
 
重新签名tw.pol
# twadmin --create-polfile --cfgfile tw.cfg --site-keyfile site.key twpol.txt
Please enter your site passphrase:
Wrote policy file: /usr/local/etc/tw.pol
 
(4)可以初始化作为参照了
# tripwire --init
Please enter your local passphrase:
Parsing policy file: /usr/local/etc/tw.pol
Generating the database...
*** Processing Unix File System ***
### Warning: File system error.
### Filename: /usr/local/apache2/htdocs
### No such file or directory
### Continuing...
Wrote database file: /usr/local/lib/tripwire/centos-64.twd
The database was successfully generated.
 
数据库和报告路径
# ll /usr/local/lib/tripwire/
centos-64.twd report/
 
5、使用tripwire
现在我们到/usr/local/apache2/htdocs中添加一个test.html文件
#echo “123” > /usr/local/apache2/htdocs
 
(1)启动tripwire检测
# tripwire --check
Parsing policy file: /usr/local/etc/tw.pol
*** Processing Unix File System ***
Performing integrity check...
Wrote report file: /usr/local/lib/tripwire/report/centos-64-20110530-195251.twr
 
 
Open Source Tripwire(R) 2.4.1 Integrity Check Report
 
Report generated by:          root
Report created on:            Mon 30 May 2011 07:52:51 PM CST
Database last updated on:     Never
 
===============================================================================
Report Summary:
===============================================================================
 
Host name:                    centos-64
Host IP address:              180.168.41.175
Host ID:                      None
Policy file used:             /usr/local/etc/tw.pol
Configuration file used:      /usr/local/etc/tw.cfg
Database file used:           /usr/local/lib/tripwire/centos-64.twd
Command line used:            tripwire --check
 
===============================================================================
Rule Summary:
===============================================================================
 
-------------------------------------------------------------------------------
 Section: Unix File System
-------------------------------------------------------------------------------
 
 Rule Name                       Severity Level    Added    Removed Modified
  ---------                       --------------    -----    ------- --------
* /usr/local/apache2/htdocs       0                 1        0        1       
 (/usr/local/apache2/htdocs)
 
Total objects scanned: 8
Total violations found: 2
 
===============================================================================
Object Summary:
===============================================================================
 
-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------
 
-------------------------------------------------------------------------------
Rule Name: /usr/local/apache2/htdocs (/usr/local/apache2/htdocs)
Severity Level: 0
-------------------------------------------------------------------------------
 
Added:
"/usr/local/apache2/htdocs/text.html"
 
Modified:
"/usr/local/apache2/htdocs"
 
===============================================================================
Error Report:
===============================================================================
 
No Errors
 
-------------------------------------------------------------------------------
*** End of report ***
 
Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.
Integrity check complete.
从报告中可以看出修改的详细信息
 
(2)如果此次修改是合法的,避免下次每次check都报告,可以重新签名策略文件
# tripwire --update --twrfile /usr/local/lib/tripwire/report/centos-64-20110530-195251.twr
会默认用vim打开,输入:wq保存退出;再输入local密钥即可
 
再次check
# tripwire –check已经不报告合法的改变了
 
可以写一个crontab定期检测,并邮件报告
# service sendmail start
# service crond start
# chkconfig sendmail on
# chkconfig crond on
# crontab –e
10 5 * * *     /usr/local/sbin/tripwire --check | /bin/mail -s "Daily Tripwire Check"  qiu.jichun@163.com
这样每天早上5点10分发送check报告
 
二、      第二个完整性检测工具,是系统自带的aide
很简单的
# yum install aide
# vi /etc/aide.conf
从# These are the default rules.
 #
 #p:      permissions
............
............到
LSPP = R+sha256
# Some files get updated automatically, so the inode/ctime/mtime change
    # but we want to know when the data inside them changes
    DATAONLY = p+n+u+g+s+acl+selinux+xattrs+md5+sha256+rmd160+tiger
解释的是监控类别
 
剩下的就是监控目标,
现在拿/home/mysql目录做测试
添加一行:
/home/mysql   NORMAL
 
初始化:
# aide –i
lgetfilecon_raw failed for /home/mysql:No data available
lgetfilecon_raw failed for /home/mysql/.bashrc:No data available
lgetfilecon_raw failed for /home/mysql/.zshrc:No data available
lgetfilecon_raw failed for /home/mysql/.bash_logout:No data available
lgetfilecon_raw failed for /home/mysql/.bash_profile:No data available
 
AIDE, version 0.13.1
 
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
成功初始化
 
把刚产生的参照数据库复制成正式数据库
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
 
检测目录
# aide -C
lgetfilecon_raw failed for /home/mysql:No data available
lgetfilecon_raw failed for /home/mysql/.bashrc:No data available
lgetfilecon_raw failed for /home/mysql/.zshrc:No data available
lgetfilecon_raw failed for /home/mysql/.bash_logout:No data available
lgetfilecon_raw failed for /home/mysql/.bash_profile:No data available
 
AIDE, version 0.13.1
 
### All files match AIDE database. Looks okay!
 
尝试更改目录,然后再次check
# echo 123 > /home/mysql/123
# aide -C
lgetfilecon_raw failed for /home/mysql:No data available
lgetfilecon_raw failed for /home/mysql/.bashrc:No data available
lgetfilecon_raw failed for /home/mysql/.zshrc:No data available
lgetfilecon_raw failed for /home/mysql/.bash_logout:No data available
lgetfilecon_raw failed for /home/mysql/123:No data available
lgetfilecon_raw failed for /home/mysql/.bash_profile:No data available
AIDE found differences between database and filesystem!!
Start timestamp: 2011-05-30 20:49:56
 
Summary:
 Total number of files:        8
 Added files:                  1
 Removed files:                0
 Changed files:                1
 
 
---------------------------------------------------
Added files:
---------------------------------------------------
 
added: /home/mysql/123
 
---------------------------------------------------
Changed files:
---------------------------------------------------
 
changed: /home/mysql
 
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
 
 
Directory: /home/mysql
 Mtime    : 2011-05-23 19:53:07              , 2011-05-30 20:49:54
 Ctime    : 2011-05-23 19:53:07              , 2011-05-30 20:49:54
 
合法性修改后同样需要更新数据库
# aide –i
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
 

原文链接:http://tonychiu.blog.51cto.com/656605/577500
yongzhang52545
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统完整性检查工具--Tripwire和AIDE
weixin_30760895的博客
09-08 1289
当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这 个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过 程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux 来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉 你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入 侵者发现管理员正在运行crontab作业,也有可...
检查系统文件完整性
如鹿渴慕泉水的专栏
06-28 6452
在管理员命令提示符下键入以下命令: Dism /Online /Cleanup-Image /ScanHealth 这条命令将扫描全部系统文件并和官方系统文件对比,扫描计算机中的不一致情况。 Dism /Online /Cleanup-Image /CheckHealth 这条命令必须在前一条命令执行完以后,发现系统文件有损坏时使用。 DISM /Online /Cleanup-image /RestoreHealth 这条命令是把那些不同的系统文件还原成官方系统源文件。 完成后重启,再键入以下命令:sfc
测试系统完整性
01-04
系统的开发用于测试飞机等基于ARM 的嵌入式系统开发。
验证windows 10系统组件的完整性系统映像文件的修复命令
最新发布
第五只狗 的博客
10-06 5812
使用Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess命令修复系统映像文件,可以在不联网的情况下进行。Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess命令,来进行系统映像文件的修复。(计算机必须联网,在没有联网的情况下,执行了命令也不可能修复系统映像文件)
​超简单集成华为系统完整性检测,搞定设备安全防护
华为开发者联盟
11-04 2935
在不安全设备,如被root或解锁的手机上,运行应用通常会伴随着一定安全风险,例如被恶意病毒或木马软件利用root权限植入病毒、篡改用户设备信息和破坏系统等。因此,如何做好应用的安全防护、避免在不安全设备环境中产生安全风险,已经成为其开发者必须要考虑的因素。对此,华为开放安全检测服务,提供系统完整性检测(SysIntegrity API),可检测应用运行的设备环境是否安全,如设备是否被root、被解锁等。 一、服务介绍 华为系统完整性检测包括以下特点: 基于可信执行环境TEE提供系统完整性检测结果:在设备
检查windows系统完整性
04-27
检查windows系统完整性
数据库系统概论-数据库完整性.ppt
11-12
"数据库系统概论-数据库完整性" 数据库系统概论的第五章主要讲述了数据库完整性,介绍了...数据库系统应该提供定义完整性约束条件的机制、提供完整性检查的方法、违约处理等,以确保数据库中数据的正确性和相容性。
Linux如何基于AIDE检测文件系统完整性
09-14
5. **定期检测**:结合cron等计划任务工具,AIDE可以定期执行完整性检查,确保系统持续受到保护。 6. **数据库压缩**:为了节省存储空间,AIDE允许对数据库进行gzip压缩。 7. **客户端/服务器模式**:AIDE可以部署...
事件ID6281 系统完整性审核失败
11-06
标题中的“事件ID6281 系统完整性审核失败”是一个特定的Windows操作系统安全事件,这通常意味着系统在执行代码完整性检查时发现了一个问题。这个事件与系统的保护机制——也就是Windows Defender的System Integrity...
光盘检查完整性
01-14
标题“光盘检查完整性”指的是一个用于检测光盘数据完整性的过程或工具,这在处理重要数据存储介质,如CD、DVD时尤为重要。当人们担心光盘可能存在读取错误、划痕或潜在损坏时,这类工具能帮助确认数据是否依然...
硬件及系统的功能安全完整性设计(SIL)-计算方法
11-26
详细介绍了功能安全IEC61508的计算方法,有助于全面了解功能安全的概念及完整性等级的计算方法。
系统概念设计的完整性
October
09-22 3728
目录 why what how who when why 在系统设计中,概念的完整性应该是最重要的考虑因素。也就是说,为了反映一系列连贯的设计思路,宁可省略一些不规则的特性和改进,也不提倡独立和无法整合的系统,哪怕他们其实包含着许多很好的设计。 what 概念完整性不仅仅包含业务领域上的概念...
【windows系统配置检查工具】微软AccessChk系统资源检查:下载地址、命令、使用示例
05-28 1352
【windows提取】系统配置检查
Hacking Diablo II之完整性检查(Integrity Scan)
Sting的专栏 - Under the hood
12-11 8006
d2hackmap有一个完整性检查的功能(Integrity Scan),用来检查游戏进程的代码有没有被改过。这个功能在d2hackmap的“安全开地图”中有所应用。所谓的“安全开地图”,其原理大致是在游戏进程分配一块空间,把“开地图”的相关代码(不是一个完整的DLL模块)注入这块空间,这段代码会在游戏的主线程context下运行,调用游戏的内部函数实现“开地图”逻辑,完事儿后再释放分配的空间。
系统文件检查工具是什么
weixin_42601547的博客
01-10 914
系统文件检查工具(System File Checker,SFC)是 Windows 操作系统中的一个内置命令行工具。它可以检查系统文件的完整性,并在发现损坏或缺失的文件时进行修复或替换。SFC 能够检查和修复 Windows 系统文件,包括 DLL 文件、exe 文件和 sys 文件等。通常,我们在系统出现问题时,可以使用 SFC 工具来检查并修复系统文件。 ...
Grunt学习——检查代码完整性
Lotus
03-08 766
1. 清理工作目录工作目录其实就是开发过程中代码基的根目录。最好的做法是在一个子目录中放置构建过程中编译得到的文件。这样做的目的很明显可以很清楚地把构建生成的内容和源码清楚地分开,可以确保不会意外删除源码。介绍一个概念,幂等性。在开发中指的是只要制定好了一步构建方案,想执行多少次就能执行多少次,而且效果不变。grunt-contrib-clean这个插件的作用是:你提供目标名称,它会删除通配模式指定
SEAndroid流程分析
Venus 的博客
04-14 500
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员中。与设置app文件安全上下文的selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
基于文件完整性校验的恶意代码检测器设计
天天学安全专属博客
04-02 571
基于文件完整性校验的恶意代码检测器设计,最详细的python代码,告诉你如何设计恶意代码检测器
在 Linux 上检查文件完整性的 6 种方法,减少黑客攻击风险
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
03-01 5061
如果您认真对待 Linux 桌面的安全性,那么验证您从 Internet 下载的文件的 checksum 是一个好习惯。 当您下载 Linux ISO 文件时,您可能已经注意到下载链接附近有一个 checksum。checksum 是一长串实际上没有任何意义的数字和字母。此 checksum 的目的是帮助您确认您下载的文件正是您期望的文件,它没有被不完整的下载损坏或有人在文件到达您之前篡改文件。 有几种方法可以在 Linux 上验证文件的完整性。看看以下程序,看看哪一个对您有吸引力。 1. Hashbrow

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值