如果恶意软件或其环境改变了您的文件系统,Linux完整性检查工具将提醒您。尽管Linux被认为是最安全的操作系统(领先于Windows和MacOS),但它仍然容易受到Rootkit和其他恶意软件的攻击。因此,Linux用户需要知道如何保护他们的服务器或PC免受损坏,而他们需要采取的第一步就是保护文件系统。在本文中,我们将了解Tripwire,它是一款出色的Linux文件系统保护工具。Tripwire是一种完整性检查工具,可让系统管理员、安全工程师和其他人员检测系统文件的更改。虽然它不是唯一的选择(AIDE和Samhain提供类似的功能),但Tripwire可以说是最常用的Linux系统文件完整性检查器,并且在GPLv2许可下是开源的。Tripwire的工作原理了解Tripwire的工作原理有助于理解Tripwire安装后的功能。Tripwire主要由策略和数据库两部分组成。一个策略列出了完整性检查器应该快照的所有文件和目录,并且还创建了用于识别对目录和文件的更改的违规行为的规则。该数据库由Tripwire生成的快照组成。Tripwire还有一个配置文件,用于指定数据库、策略文件和Tripwire可执行文件的位置。它还提供两个加密密钥——站点密钥和本地密钥——以保护重要文件免遭篡改。站点密钥保护策略和配置文件,而本地密钥保护数据库和生成的报告。Tripwire定期将目录和文件与数据库中的快照进行比较并报告任何更改。安装Tripwire要使用Tripwire,我们需要先下载并安装它。几乎所有Linux发行版都可以使用Tripwire。您可以从Sourceforge下载一个开源版本并根据您的Linux版本安装它,如下所示。Debian和Ubuntu用户可以使用apt-get直接从存储库安装Tripwire。非root用户应输入sudo命令以通过apt-get安装Tripwire。sudoapt-getupdatesudoapt-getinstalltr??ipwireCentOS和其他基于RPM的发行版使用类似的过程。作为最佳实践,请在安装新软件包(如Tripwire)之前更新存储库。命令yuminstallepel-release意味着我们要安装额外的存储库。(epel代表ExtraPackagesforEnterpriseLinux。)yumupdateyuminstallepel-releaseyuminstalltr??ipwire此命令贯穿整个安装过程,Tripwire有效运行所需的配置。此外,它会要求您在安装过程中使用密码。您可以为这两个选项选择“是”。此外,如果需要构建配置文件,请选择是。选择并确认站点密钥和本地密钥的密码。(建议使用复杂的密码,例如Il0ve0pens0urce。)创建并初始化Tripwire数据库接下来,按照以下步骤初始化Tripwire数据库:tripwire--init您需要提供本地密钥密码才能运行这些命令。使用Tripwire进行基本完整性检查您可以使用以下命令让Tripwire检查您的文件或目录是否已被修改。Tripwire将文件和目录与数据库中的初始快照进行比较的能力依赖于您在活动策略中创建的规则。tripwire--check您还可以将-check命令限制为特定文件或目录,如下所示:tripwire--check/usr/tmp此外,如果您需要更多使用Tripwire的-check命令的帮助,此命令可以查看Tripwire的手册:tripwire--check--help使用Tripwire生成报告要轻松生成每日系统完整性报告,请使用以下命令创建crontab作业:crontab-e之后,您可以编辑此文件(使用文本编辑器)以导入要由cron运行的任务。例如,您可以设置一个cron作业,使用以下命令在每天5:40将Tripwire报告发送到您的邮箱:405***usr/sbin/tripwire--check您是否决定使用Tripwire或其他就像Functionalsanitychecker一样,关键问题是确保你有一个解决方案来保证你的Linux文件系统安全。
