基本介紹
- 外文名:Tripwire
- 性質:軟體工具
- 用途:檔案系統完整性檢查
- 開發公司:Tripwire的公司
簡介,發展背景,軟體特點,注意事項,
簡介
當Tripwire運行在資料庫生成模式時,會根據管理員設定的一個配置檔案對指定要監控的檔案進行讀取,對每個檔案生成相應數字簽名,並將這些結果保存在自己的資料庫中,在預設狀態下,MD5和SNCFRN(Xerox的安全哈希函式)加密手段被結合用來生成檔案的數字簽名。除此以外,管理員還可使用 MD4,CRC32,SHA等哈希函式,但實際上,使用上述兩種哈希函式的可靠性已相當高了,而且結合MD5和sncfrn兩種算法(尤其是 sncfrn)對系統資源的耗費已較大,所以在使用時可根據檔案的重要性做取捨。當懷疑係統被入侵時,可由Tripwire根據先前生成的,資料庫檔案來做一次數字簽名的對照,如果檔案被替換,則與Tripwire資料庫內相應數字簽名不匹配,這時Tripwire會報告相應檔案被更動,管理員就明白系統不"乾淨"了。
發展背景
1997年是一個轉折,美國出現了一家叫Tripwire的公司,基於tripwire自由軟體的特性進行企業IT 安全與審計領域的研究,其推出的Tripwire Enterprise企業級產品是一個突破,逐漸成為數據中心合規性和基礎設施管理解決方案領域的領先企業,致力於重建虛擬和有形基礎設施領域的IT安全信心。Tripwire Enterprise和vWire軟體幫助全球6,500多家企業實現IT運營、安全性及合規性所需的配置審計、檔案完整性監測、虛擬基礎設施管理和變更審計性能。Tripwire總部位於俄勒岡州波特蘭市,下設辦事處遍及全球。
2008年之後,Tripwire公司發展了Tripwire VIA的理念(IT架構的可見性,完整性和控制性),通過Tripwire Enterprise和Tripwire Log & Event Center manager兩個組合來實現。
軟體特點
Tripwire支持絕大多數Unix作業系統,它的安裝需要編譯環境,如gcc,cc等,還需要gzip,gunzip等解壓工具。這些工具管理員可從相應站點獲取,這裡不討論。到它的主頁download部分,可以看到當前可免費 download的Tripwire1.3 ASR版本,下載下來就是。
使用Tripwire和aide等檢測工具能夠及時地幫助你發現攻擊者的入侵,它們能夠很好地提供系統完整性的檢查。這類工具不同於其它的入侵檢測工具,它們不是通過所謂的攻擊特徵碼來檢測入侵行為,而是監視和檢查系統發生的變化。
當伺服器遭到黑客攻擊時,在多數情況下,黑客可能對系統檔案等等一些重要的檔案進行修改。對此,我們用Tripwire建立數據完整性監測系統。雖然 它不能抵禦黑客攻擊以及黑客對一些重要檔案的修改,但是可以監測檔案是否被修改過以及哪些檔案被修改過,從而在被攻擊後有的放矢的策劃出解決辦法。
Tripwire的原理是Tripwire被安裝、配置後,將當前的系統數據狀態建立成資料庫,隨著檔案的添加、刪除和修改等等變化,通過系統數據現 狀與不斷更新的資料庫進行比較,來判定哪些檔案被添加、刪除和修改過。正因為初始的資料庫是在Tripwire本體被安裝、配置後建立的原因,我們務必應 該在伺服器開放前,或者說作業系統剛被安裝後用Tripwire構建數據完整性監測系統。
注意事項
有一點要注意,上述保障機制的重點在於資料庫內的數字簽名,如果資料庫是不可靠的,則一切工作都喪失意義。所以在Tripwire生成資料庫後,這個庫檔案的安全極為重要。比較常見的做法是將資料庫檔案, Tripwire二進制檔案,配置檔案單獨保留到"可拿走並鎖起來"的質上,如軟碟,將上述檔案複製到軟碟後,關閉防寫口,鎖到保險柜中。除軟碟外,一次性介質,如cd-r也是很好的選擇,這樣即使侵入者拿到盤也無計可施。除這種辦法外,利用PGP等加密工具對上述關鍵檔案進行數字簽名也是一個很好的選擇。
當然,當管理員自身對某些檔案更動時, Tripwire的資料庫必然是需要隨之更新的, Tripwire考慮到了這一點,它有四種工作模式:資料庫生成,完整性檢查,資料庫更新。互動更新。當管理員更動檔案後,可運行資料庫更新模式來產生新的資料庫檔案。
