Unix Tripwire的工作原理
講解了很多的Unix Tripwire的知識(shí),這次,我們來(lái)對(duì)其基本知識(shí)進(jìn)行鞏固。當(dāng)Unix Tripwire運(yùn)行在數(shù)據(jù)庫(kù)生成模式時(shí),會(huì)根據(jù)管理員設(shè)置的一個(gè)配置文件對(duì)指定要監(jiān)控的文件進(jìn)行 讀取,對(duì)每個(gè)文件生成相應(yīng)數(shù)字簽名,并將這些結(jié)果保存在自己的數(shù)據(jù)庫(kù)中,在缺省狀態(tài)下,MD5和 SNCFRN(Xerox的安全哈希函數(shù))加密手段被結(jié)合用來(lái)生成文件的數(shù)字簽名.
除此以外,管理員還可使 用MD4,CRC32,SHA等哈希函數(shù),但實(shí)際上,使用上述兩種哈希函數(shù)的可靠性已相當(dāng)高了,而且結(jié)合MD5 和sncfrn兩種算法(尤其是sncfrn)對(duì)系統(tǒng)資源的耗費(fèi)已較大,所以在使用時(shí)可根據(jù)文件的重要性做取舍.
當(dāng)懷疑系統(tǒng)被入侵時(shí),可由Unix Tripwire根據(jù)先前生成的,數(shù)據(jù)庫(kù)文件來(lái)做一次數(shù)字簽名的對(duì)照,如 果文件被替換,則與Unix Tripwire數(shù)據(jù)庫(kù)內(nèi)相應(yīng)數(shù)字簽名不匹配, 這時(shí)Unix Tripwire會(huì)報(bào)告相應(yīng)文件被更動(dòng),管理員就明白系統(tǒng)不”干凈”了.
有一點(diǎn)要注意,上述保障機(jī)制的重點(diǎn)在于數(shù)據(jù)庫(kù)內(nèi)的數(shù)字簽名,如果數(shù)據(jù)庫(kù)是不可靠的,則一切工作都喪失意義.所以在Unix Tripwire生成數(shù)據(jù)庫(kù)后,這個(gè)庫(kù)文件的安全極為重要.比較常見(jiàn)的做法是將數(shù)據(jù) 庫(kù)文件, Unix Tripwire二進(jìn)制文件,配置文件單獨(dú)保留到”可拿走并鎖起來(lái)”的介質(zhì)上,如軟盤(pán),將上述文件復(fù)制 到軟盤(pán)后,關(guān)閉寫(xiě)保護(hù)口,鎖到保險(xiǎn)柜中.
除軟盤(pán)外, 一次性介質(zhì),如cd-r也是很好的選擇,這樣即使侵入者拿到盤(pán)也無(wú)計(jì)可施. 除這種辦法外,利用PGP等加密工具對(duì)上述關(guān)鍵文件進(jìn)行數(shù)字簽名也是一個(gè)很好的選擇.
當(dāng)然,當(dāng)管理員自身對(duì)某些文件更動(dòng)時(shí), Unix Tripwire的數(shù)據(jù)庫(kù)必然是需要隨之更新的, Unix Tripwire考慮到了這一點(diǎn),它有四種工作模式:數(shù)據(jù)庫(kù)生成,完整性檢查,數(shù)據(jù)庫(kù)更新.交互更新.當(dāng)管 理員更動(dòng)文件后,可運(yùn)行數(shù)據(jù)庫(kù)更新模式來(lái)產(chǎn)生新的數(shù)據(jù)庫(kù)文件。 Unix Tripwire的工作原理就是這樣的。
【編輯推薦】
