系统检测之tripwire安装使用
由于各种网络和人员操作原因,服务暴漏在公网之上,难免会有人窥探攻击,不能阻止别人攻击,你只能做的是预防。
tripwire工具为可以检查系统的二进制文件是否被修改,系统运行的服务需要suid和gid,那么具有这些的属性就可以获得root权限,所以你的suid和sgid 一定要注意检查。
软件下载地址
解压安装
./configure --prefix=/usr/local/tripwire
make && make install
输入accept
然后自己输入自己的口令
一直下去就ok了
vi twcfg.txt
修改这个文件,去掉不必要的监控目录和文件,并在将你要监控的目录加入,比如www目录。
twadmin -m P twpol.txt
上面这个命令生成新的配置文件 twpol.cfg
tripwire -m i -v
初始化指纹库,如果监控目录多的话,会有一点慢。
tripwire -m c -v /bin/ls 生成库后,就可以核对了, 这一行是核对/bin/ls 文件
tripwire -m c -v -l 100 这一行命令是检查危害程度大于100的文件。
具体的配置资料和使用方法还是查文档!
tripwire工具为可以检查系统的二进制文件是否被修改,系统运行的服务需要suid和gid,那么具有这些的属性就可以获得root权限,所以你的suid和sgid 一定要注意检查。
软件下载地址
解压安装
./configure --prefix=/usr/local/tripwire
make && make install
输入accept
一直下去就ok了
vi twcfg.txt
修改这个文件,去掉不必要的监控目录和文件,并在将你要监控的目录加入,比如www目录。
twadmin -m P twpol.txt
上面这个命令生成新的配置文件 twpol.cfg
tripwire -m i -v
初始化指纹库,如果监控目录多的话,会有一点慢。
tripwire -m c -v /bin/ls 生成库后,就可以核对了, 这一行是核对/bin/ls 文件
tripwire -m c -v -l 100 这一行命令是检查危害程度大于100的文件。
具体的配置资料和使用方法还是查文档!