Инструкция по настройке и установке утилиты tripware для проверки целостности файлов и каталогов файловой системы на Linux.
Что это такое?
Tripwire - это инструмент, который помогает системным администраторам, инженерам и обычным пользователям контролировать любые изменения определенного набора файлов.
При регулярное работе с системными файлами (например, ежедневно) tripwire может отправлять пользователям информацию о поврежденных или подделанных файлах, поэтому меры по борьбе могут быть приняты своевременно.
Установка
Установите утилиту с помощью вашего пакетного менеджера, например yum:
Далее необходимо провести начальную конфигурацию, создав ключи. Запустите следующий скрипт и несколько раз введите секретные фразы (пароли):
tripwire-setup-keyfiles
Примечание: site key -ключ, который используется для защиты конфигурационных файлов. Local key - ключ, который используется для запуска бинарных файлов.
Вывод:
Запустите скрипт инициализации, это может занять несколько минут. При инициализации базы данных Tripwire создает коллекцию объектов файловой системы. Эта база данных служит базой для проверки целостности:
Вывод:
/etc/tripwire/twpol.txt - это текстовые политики Tripwire, где вы указываете, какие файлы и каталоги проверяются. Обратите внимание, что для редактирования этого файла требуется опыт. По умолчанию приведен рабочий пример, из которого вы можете начать свою собственную настройку. Чтобы открыть файл используйте текстовый редактор, например vi:
Для применения изменений выполните следующую команду:
Вывод:
Чтобы проверить наличие изменений в файловой системе используйте следующие опции:
Например, из этого вывода что создан новый каталог documents и в него добавлен файл test.txt, а а также изменен /etc/tripwire/tw.pol:
Автоматическое создание отчетов
Для того, чтобы отчеты регулярно автоматически создавались и сохранялись, необходимо настроить планировщик Cron.
Откройте файл с расписанием:
crontab -e
Внесите строку описывающую регулярность запуска проверки целостности, например, запуск скрипта каждый день в 0:30 и 12:30:
30 */12 * * * tripwire --check --interactive > <имя_файла>$(date +"%H:%M:%S_%d-%m-%Y")
Например:
30 */12 * * * tripwire --check --interactive > system-$(date +"%H:%M:%S_%d-%m-%Y")
Подробно о правилах планировщика написано в инструкции Настройка планировщика Cron в Linux.