zoukankan      html  css  js  c++  java
  • Tripwire策略说明

    在 /usr/local/doc/tripwire/目录下有个 policyguide.txt 文件,是策略示例。

    /etc/hosts -> +pinugs            意为如果/etc/hosts文件被改动,Tripwire将发出警告。

    !/etc/init.d                              前面的!意为不扫描/etc/init.d文件

    “/home/fred/big file"              双引号的意思是当文件名中出现空格和特殊字符时可以识别。

    #以下策略演示使用单独选项后的扫描功能:

    /etc/passwd -> +a;                      # Access timestamp 扫描操作时间

    /etc/passwd -> +b;                      # Number of blocks  扫描块数

    /etc/passwd -> +c;                      # Inode timestamp (create/modify)  索引节点创建/更改时间

    /etc/passwd -> +d;                      # Inode storage disk device number  索引节点在磁盘的存储号

    /etc/passwd -> +g;                      # File owner's group ID  文件属主所在组的ID

    /etc/passwd -> +i;                      # Inode number   索引节点号

    /etc/passwd -> +m;                      # Modification timestamp  修改时间

    /etc/passwd -> +n;                      # inode reference count   索引节点引用数

    /etc/passwd -> +p;                      # Permissions and file mode bits   权限和文件模式位

    /etc/passwd -> +r;                      # Device Number   设备号(对设备对象有效)

    /etc/passwd -> +s;                      # File size  文件大小

    /etc/passwd -> +t;                      # File Type  文件类型

    /etc/passwd -> +u;                      # File owner's user ID  文件属主的ID

    /etc/passwd -> +l;                      # File is increasing in size  一个增长中的文件

    /etc/passwd -> +C;                      # CRC-32 hash value   CRC-32校验值

    /etc/passwd -> +M;                      # MD5 hash value   MD5指纹

    /etc/passwd -> +S;                      # SHA hash value   SHA指纹

    /etc/passwd -> +H;                      # Haval signature value   HAVAL指纹

    当Tripwire扫描或者发现违规行为时,可以在策略里添加具体属性来影响Tripwire的行为:

    /etc -> +ug (recurse=false);    非递归扫描,只扫描/etc文件夹内容,但不扫描其子文件夹。

    /etc -> +ug (rulename=software);   设置一个rulename,如software,/etc文件夹的扫描报告将在"software"这个名称之下。

    /etc -> +ug (emailto=admin@domain.com);   如果在/etc文件夹下有任何违反策略的情况发生,Tripwire将向设置的admin@domain.com邮箱发送邮件报告。

    /etc -> +ug (emailto="admin@domain.com webmaster@domain.com");   可以向多个邮箱发送。

    /etc -> +ug (severity=50);   你可以设置策略的严重程度,使得你可以快速扫描最具威胁的篡改。

    在Tripwire里可以设置变量:

    param1 = +SMCH;                         # 设置变量 param1.

    dir1 = /etc/inet;                       # 设置变量 dir1

    DIR1 = /etc/init.d;                     # 变量是大小写敏感的

    $(dir1) -> +tbamc;                      #使用变量dir1来代替/etc/inet,左边替代

    /etc/inet -> $(param1);                 #使用变量param1来代替+SMCH,右边替代

    $(DIR1) -> $(param1);                   # 两边同时使用变量

    Tripwire 也定义了一些变量:

    /etc/httpd/weblog -> $(Growing);   这里的$(Growing)等同于+pinugtdl,意味着此文件大小只能增加,如日志文件。

    /etc/passwd -> $(IgnoreNone);   $(IgnoreNone)等同于+pinusgamctdbCMSH,意味着检查文件所有属性,用在关键的文件上,如passwd文件。

    /home/fred/mytextfile -> $(IgnoreAll);   $(IgnoreAll)等同于+pinusglamctdbCMSH,意味着不检查文件属性,只检查其存在与否。

    /usr/httpd/index.html -> $(ReadOnly);    $(ReadOnly)等同于+pinugsmtdbCM,检查是否ReadOnly。

    /home/fred -> $(Dynamic);     $(Dynamic)等同于+pinugtd,检查理应是动态的文件。

    /dev/null -> $(Device);    $(Device)等同于+pugs,检查设备文件和那些可以读取的静态文件的。

    如果需要一组网络服务器使用同一个策略,但是针对每个机器又需要特定的策略,那么可以使用指令:

    @@ifhost salmon                         # 如果服务器名为salmon,则执行下面策略

    /etc -> +abcdgimnpstul;                # 则执行这条策略

    @@else                                       

    /bin -> +abcdgimnpstul;                  #而其他服务器执行下面的策略

    @@endif

    指令可以嵌套:

    @@ifhost crayfish

         /etc/passwd -> $(Growing);            

    @@else     

         @@ifhost salmon          

             /etc/passwd -> $(IgnoreAll); 

         @@endif   

         /etc/passwd -> $(IgnoreNone);  

    @@endif

    下面是实际配置策略时的一些示例:

    /home/fred/specialfile -> asd (emailto=fred@domain.com, Rulename=special, severity=50);

    /home/fred/generalworkfile -> bm (Rulename=work, severity=60);

    /home/fred/myreport -> CSH (Rulename=report, severity=75);

    /home/fred/mypresentation.data -> Mpi (Rulename=urgent, severity=90);

    还可以这么写:

    (Rulename=standard, severity=30)

    {

         /home/fred -> lgu;

         /home/jane -> CHM;

         /home/project/report.file -> $(Growing);

    }

  • 相关阅读:
    未在本地计算机上注册“Microsoft.Ace.OleDb.12.0”提供程序解决办法
    禁止复制 + 锁右键 + 禁止全选(兼容IE Chrome等)
    Oracle面试题
    SQL面试题
    UnicodeDecodeError: 'utf-8' codec can't decode byte 0xb9 in position 16: invalid start byte
    Python3 迭代器与生成器
    Python3 循环_break和continue语句及循环中的else子句
    Python3 编程第一步_关键字end
    Python3 编程第一步_斐波纳契数列_连续赋值
    Linux系统管理_主题02 :管好文件(1)_2.4 链接文件_ln
  • 原文地址:https://www.cnblogs.com/warrior2005/p/4447680.html
Copyright © 2011-2022 走看看