在CentOS5上安裝tripwire 2.4.1.2 .教程是 CentOS攻略站上的。
執(zhí)行tripwire-check腳本后,時(shí)間非常之長,占資源很多,也可能使我的機(jī)器配置過低的問題。
檢查他的腳本內(nèi)容,發(fā)現(xiàn)是對整個(gè)磁盤的監(jiān)控,即直接用 tripwire --check -r "記錄地址" |logger -t tripwire 來做的,這樣對整個(gè)磁盤檢查,自然很慢, 另外還有一個(gè)費(fèi)時(shí)的操作,就是對數(shù)據(jù)庫的重新初始化,即 tripwire --init 操作。
那么對于小型的系統(tǒng),比如我的,完全是作為學(xué)習(xí)之用(我是在虛擬機(jī)上裝的L,目的是為了搭建網(wǎng)絡(luò)環(huán)境來做實(shí)驗(yàn),512內(nèi)存,1.4GHz CPU ,分給虛擬機(jī)一半內(nèi)存,速度可想而知,太慢了~~),那么完全可以只讓他監(jiān)控特定的文件夾,并且把初始化數(shù)據(jù)庫工作改為更新數(shù)據(jù)庫。
[重要]! 檢查的位置,設(shè)備,文件夾必須在 twpol.txt中定義規(guī)則,然后加密成tw.pol文件來定義。
檢查的位置只在文件中定義好的位置有效。
監(jiān)控文件夾在twpol.txt中完成。
運(yùn)行/發(fā)郵件給root/更新在腳本中完成。
更新代碼實(shí)例:
#wiretrip --update -P $LOCALPASSWORD -a --twrfile $twrfilepath
-P 指定local密碼,-a 使之不用vi編輯生成的報(bào)告( 默認(rèn)在完成更新之后會(huì)打開vi,以編輯報(bào)告,很煩人),
--twrfile 指定你的 twr 文件位置
讓監(jiān)測腳本每天自動(dòng)運(yùn)行
[root@sample tripwire]# cd ← 進(jìn)入Tripwire運(yùn)行腳本所在的root目錄
[root@sample ~]# mv tripwire-check /etc/cron.daily/ ← 轉(zhuǎn)移腳本到每天自動(dòng)運(yùn)行的目錄中
本地瀏覽報(bào)告的方法:
[root@sample ~]# ls -l /usr/local/lib/tripwire/report/ ← 監(jiān)測報(bào)告所在目錄的文件列表
total 32
-rw-r--r-- 1 root root 8222 Aug 23 05:46 sample.centospub.com-20060823.twr ← 比如想瀏覽此篇報(bào)告
-rw-r--r-- 1 root root 8230 Aug 23 05:46 sample.centospub.com-20060823.twr.bak
[root@sample ~]# cd /etc/tripwire ← 進(jìn)入Tripwire配置文件所在目錄
[root@sample tripwire]# twprint
-m r -c tw.cfg -r
"/usr/local/lib/tripwire/report/sample.centospub.com-20060823.twr" -L
sample.centospub.com-local.key -t 4 > tripwire-report ← 將監(jiān)測報(bào)告保存到名為tripwire-report的文件中
參考該帖子,http://www.centospub.com/make/tripwire.html有詳細(xì)的教程說明
但是有小錯(cuò)誤,我把 tripwire-check 文件腳本直接復(fù)制使用,結(jié)果是每次運(yùn)行都會(huì)向郵箱發(fā)送郵件,不論是否有改動(dòng)過文件。 察看一下腳本內(nèi)容,發(fā)現(xiàn)有個(gè)字符串的空格位數(shù)少了:
if [ -z "$(grep 'Total violations found: 0' $REPORTPRINT)" ]; then
這一行中的'Total violations found: 0'
應(yīng)該變成為'Total violations found: 0'
------------
另外還有一貼子講得很詳細(xì)
http://blog.sina.com.cn/s/blog_53f768e4010003rh.html