Tripwire是最为著名的
unix下文件系统完整性检查的软件工具,这一软件采用的技术核心就是对每个要监控的文件产生一个
数字签名,保留下来。当文件现在的数字签名与保留的数字签名不一致时,那么现在这个文件必定被改动过了。
当Tripwire运行在数据库生成模式时,会根据管理员设置的一个配置文件对指定要监控的文件进行读取,对每个文件生成相应
数字签名,并将这些结果保存在自己的数据库中,在缺省状态下,
MD5和SNCFRN(
Xerox的安全
哈希函数)加密手段被结合用来生成文件的数字签名。除此以外,管理员还可使用
MD4,
CRC32,
SHA等哈希函数,但实际上,使用上述两种哈希函数的可靠性已相当高了,而且结合MD5和sncfrn两种算法(尤其是 sncfrn)对系统资源的耗费已较大,所以在使用时可根据文件的重要性做取舍。当怀疑系统被入侵时,可由Tripwire根据先前生成的,
数据库文件
1997年是一个转折,美国出现了一家叫Tripwire的公司,基于tripwire
自由软件的特性进行企业IT 安全与审计领域的研究,其推出的Tripwire Enterprise企业级产品是一个突破,逐渐成为数据中心合规性和基础设施管理解决方案领域的领先企业,致力于重建虚拟和有形基础设施领域的IT安全信心。Tripwire Enterprise和vWire软件帮助全球6,500多家企业实现IT运营、安全性及合规性所需的配置审计、文件完整性监测、虚拟基础设施管理和变更审计性能。Tripwire总部位于俄勒冈州波特兰市,下设办事处遍及全球。
2008年之后,Tripwire公司发展了Tripwire VIA的理念(IT架构的可见性,完整性和控制性),通过Tripwire Enterprise和Tripwire Log & Event Center manager两个组合来实现。
Tripwire支持绝大多数Unix操作系统,它的安装需要编译环境,如gcc,cc等,还需要gzip,gunzip等
解压工具。这些工具管理员可从相应站点获取,这里不讨论。到它的主页download部分,可以看到当前可免费 download的Tripwire1.3 ASR版本,下载下来就是。
使用Tripwire和
aide等检测工具能够及时地帮助你发现攻击者的入侵,它们能够很好地提供系统完整性的检查。这类工具不同于其它的
入侵检测工具,它们不是通过所谓的攻击特征码来检测入侵行为,而是监视和检查系统发生的变化。
当服务器遭到黑客攻击时,在多数情况下,黑客可能对系统文件等等一些重要的文件进行修改。对此,我们用Tripwire建立
数据完整性监测系统。虽然 它不能抵御黑客攻击以及黑客对一些重要文件的修改,但是可以监测文件是否被修改过以及哪些文件被修改过,从而在被攻击后有的放矢的策划出解决办法。
Tripwire的原理是Tripwire被安装、配置后,将当前的系统数据状态建立成数据库,随着文件的添加、删除和修改等等变化,通过系统数据现 状与不断更新的数据库进行比较,来判定哪些文件被添加、删除和修改过。正因为初始的数据库是在Tripwire本体被安装、配置后建立的原因,我们务必应 该在服务器开放前,或者说操作系统刚被安装后用Tripwire构建数据完整性监测系统。
有一点要注意,上述保障机制的重点在于数据库内的
数字签名,如果数据库是不可靠的,则一切工作都丧失意义。所以在Tripwire生成数据库后,这个库文件的安全极为重要。比较常见的做法是将
数据库文件, Tripwire
二进制写保护口,锁到保险柜中。除
软盘外,一次性介质,如cd-r也是很好的选择,这样即使侵入者拿到盘也无计可施。除这种办法外,利用
PGP等加密工具对上述关键文件进行数字签名也是一个很好的选择。
当然,当管理员自身对某些文件更动时, Tripwire的数据库必然是需要随之更新的, Tripwire考虑到了这一点,它有四种工作模式:数据库生成,完整性检查,数据库更新。交互更新。当管理员更动文件后,可运行数据库更新模式来产生新的
数据库文件。