КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Tripwire
|
|
|
|
При запуске Tripwire читает конфигурационный файл и файл правил. Первый сообщает о том, где располагаются файлы и базы данных программы, а второй определяет, какие файлы и каталоги контролировать и какую информацию о них собирать. Информация, полученная программой в режиме инициализации, заносится в базу данных, которая шифруется. При последующих запусках информация из базы данных сравнивается с реальным состоянием системы. Это называется режимом сравнения. Программа сообщает о любых замеченных несовпадениях. Если выявлен несанкционированный доступ, необходимо исправить нарушения. Если же изменения являются следствием разрешенной деятельности, можно обновить базу данных, чтобы программа Tripwire больше не сообщала о них. Это делается в режиме обновления.
Рис.17.1. Принцип работы программы Tripwire
В конфигурационном файле программы Tripwire – /etc/tripwire/tw.cfg – задаются следующие переменные:
Таблица 17.1.
Параметры настройкиTripwire
| Переменная | Назначение |
| ROOT | Задает каталог для служебных утилит: tripwire, twadmin, twprint, siggen |
| POLFILE | Обязательная переменная, которая задает расположение файла правил |
| DBFILE | Обязательная переменная, которая задает расположение баз данных программы |
| REPORTFILE | Обязательная переменная, которая задает расположение отчетов программы |
| SITEKEYFILE | Обязательная переменная, которая задает расположение файла общесистемного ключа |
| LOCALKEYFILE | Обязательная переменная, которая задает расположение файла локального ключа |
| EDITOR | Задает редактор, используемый в интерактивном режиме |
| LATEPROMPTING | Если равна true, то идентификационная фраза будет запрашиваться в самую последнюю очередь |
| LOOSEDIRECTORYCHECKING | Если равна fakse, программа будет сообщать об удалениях и добавлениях файлов, а также о соответствующих изменениях каталогов. Если равна true, некоторые избыточные отчеты не будут создаваться |
| MAILNOVIOLATIONS | Если равна true, программа будет посылать почтовый отчет даже в отсутствие каких-либо изменений. Если равна false, отчеты не посылаются |
| EMAILREPORTLEVEL | Задает уровень почтового отчета – от 0 до 4 |
| REPORTLEVEL | Задает уровень отчета для клманды twprint –print-level |
| MAILMETHOD | Задает метод отправки почтового отчета – SMTP или SENDMAIL |
| SYSLOGREPORTING | Если равна true, в системе Syslog будут регистрироваться следующие события: инициализация и обновление базы данных, завершение проверки целостности, изменение файла правил |
| MAILPROGRAM | Задает программу, используемую для рассылки почтовых отчетов |
В файле правил Tripwire содержится список файлов и каталогов, для которых следует создавать идентификационные метки (подборка информации о файле или каталоге, включающая его размер, права доступа и номер индексного дескриптора, различные хеш-коды). С каждым файлом или каталогом связана метка свойств, определяющая, какие сведения должны включаться в идентификационную метку.
Элементы файла правил разделяются на четыре категории: комментарии, правила, переменные и директивы.
Правило задает имя объекта (файла, каталога или устройства) и определяет, изменение какого атрибута объекта должно контролироваться. Можно также потребовать от программы не контролировать некоторые объекты. С каждым объектом должно быть связано только одно правило. Правила могут быть двух типов:
· обычные – заставляющие программу контролировать свойства определенного объекта. Формат правила:
имя_объекта -> маска_свойств;
Обычные правила могут дополняться одним или несколькими модификаторами:
o rulename. Правило или группу правил можно снабдить меткой. Эти метки используются в процессе просмотра отчетов, позволяя упорядочить их произвольным образом.
o emailto. Этот модификатор связывает один или несколько почтовых адресов с правилом или группой правил.
o severity. Этот модификатор позволяет задать уровень важности правила или группы правил. Уровень важности служит фильтром при проверке целостности системы. Номера уровней находятся в интервале от – до 1000. Чем меньше номер, тем ниже важность.
o recurse. Этот модификатор применяется только к каталогам и указывает на необходимость сканирования каталога и задает глубину сканирования (от 1 до 1000000).
· исключающие – заставляющие программу Tripwire игнорировать объект. Формат правила:
!имя_объекта;
В общем случае контролю целостности подлежат следующие объекты:
· системные исполняемые файлы и библиотеки, например, в каталогах /sbin и /lib;
· системные конфигурационные файлы и каталоги, например /etc/syslog.conf, /etc/pamd, /etc/passwd и /etc/shadow;
· системные журнальные файлы, например, в каталоге /var/log;
· системные данные и файлы спулинга, например в каталоге /ave/spool;
· программы защиты системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных (SSH, Bastille, Crack, CFS);
· прикладные системы, в том числе их исполняемые файлы, библиотеки, конфигурационные файлы и файлы данных.
|
|
|
|
|
Дата добавления: 2014-12-07; Просмотров: 533; Нарушение авторских прав?; Мы поможем в написании вашей работы!