詳細(xì)講解Unix--Tripwire的工作原理
Unix--Tripwire,它是目前最為著名的Unix下文件系統(tǒng)完整性檢查的軟件工具,這一軟件采用的技術(shù)核心就是對(duì)每個(gè)要監(jiān)控的文件產(chǎn)生一個(gè)數(shù)字簽名,保留下來(lái)。
當(dāng)文件現(xiàn)在的數(shù)字簽名與保留的數(shù)字簽名不一致時(shí),那么現(xiàn)在這個(gè)文件必定被改動(dòng)過(guò)了。具體到監(jiān)控項(xiàng)目,在Unix--Tripwire的配置文件中有如下相應(yīng)說(shuō)明:
- access permissions and file mode settings, including effective execution settings inode number in the file system
- number of links
- user ID of the owner
- group ID of the group of users to which access may be granted
- size of the item
- date and time the item was last accessed, the last modification made to the item, and the creation date and time associated with the items inode
由上,我們可以看到Unix--Tripwire對(duì)文件的管理面是很寬的。
Unix--Tripwire的工作原理
當(dāng)Unix--Tripwire運(yùn)行在數(shù)據(jù)庫(kù)生成模式時(shí),會(huì)根據(jù)管理員設(shè)置的一個(gè)配置文件對(duì)指定要監(jiān)控的文件進(jìn)行讀取,對(duì)每個(gè)文件生成相應(yīng)數(shù)字簽名,并將這些結(jié)果保存在自己的數(shù)據(jù)庫(kù)中,在缺省狀態(tài)下,MD5和SNCFRN(Xerox的安全哈希函數(shù))加密手段被結(jié)合用來(lái)生成文件的數(shù)字簽名。
除此以外,管理員還可使用MD4,CRC32,SHA等哈希函數(shù),但實(shí)際上,使用上述兩種哈希函數(shù)的可靠性已相當(dāng)高了,而且結(jié)合MD5和sncfrn兩種算法(尤其是sncfrn)對(duì)系統(tǒng)資源的耗費(fèi)已較大,所以在使用時(shí)可根據(jù)文件的重要性做取舍。
當(dāng)懷疑系統(tǒng)被入侵時(shí),可由Unix--Tripwire根據(jù)先前生成的,數(shù)據(jù)庫(kù)文件來(lái)做一次數(shù)字簽名的對(duì)照,如果文件被替換,則與Tripwire數(shù)據(jù)庫(kù)內(nèi)相應(yīng)數(shù)字簽名不匹配, 這時(shí)Tripwire會(huì)報(bào)告相應(yīng)文件被更動(dòng),管理員就明白系統(tǒng)不"干凈"了。
有一點(diǎn)要注意,上述保障機(jī)制的重點(diǎn)在于數(shù)據(jù)庫(kù)內(nèi)的數(shù)字簽名,如果數(shù)據(jù)庫(kù)是不可靠的,則一切工作都喪失意義。所以在Unix--Tripwire生成數(shù)據(jù)庫(kù)后,這個(gè)庫(kù)文件的安全極為重要。比較常見的做法是將數(shù)據(jù)庫(kù)文件, Tripwire二進(jìn)制文件,配置文件單獨(dú)保留到"可拿走并鎖起來(lái)"的質(zhì)上,如軟盤,將上述文件復(fù)制到軟盤后,關(guān)閉寫保護(hù)口,鎖到保險(xiǎn)柜中。
除軟盤外, 一次性介質(zhì),如cd-r也是很好的選擇,這樣即使侵入者拿到盤也無(wú)計(jì)可施。除這種辦法外,利用PGP等加密工具對(duì)上述關(guān)鍵文件進(jìn)行數(shù)字簽名也是一個(gè)很好的選擇。
當(dāng)然,當(dāng)管理員自身對(duì)某些文件更動(dòng)時(shí), Unix--Tripwire的數(shù)據(jù)庫(kù)必然是需要隨之更新的, Unix--Tripwire考慮到了這一點(diǎn),它有四種工作模式:數(shù)據(jù)庫(kù)生成,完整性檢查,數(shù)據(jù)庫(kù)更新。交互更新。當(dāng)管理員更動(dòng)文件后,可運(yùn)行數(shù)據(jù)庫(kù)更新模式來(lái)產(chǎn)生新的數(shù)據(jù)庫(kù)文件。
【編輯推薦】
