Инструменты безопасности с открытым исходным кодом


Конфигурирование Tripwire


Заключительным шагом, предшествующим запуску Tripwire, служит задание вашей политики. Файл политики очень важен для работы Tripwire: в нем специфицируются отслеживаемые файлы и уровень детализации. Основной файл политики, twpol.txt, находится в главном каталоге Tripwire. Строго говоря, это не сам файл политики, а копия зашифрованной версии, которую в действительности использует программа. Для большей безопасности необходимо сделать копию и удалить незашифрованную версию twpol.txt, после того как вы определите и протестируете свою политику.

В начале файла политики задано несколько системных переменных, а затем следует список различных файлов и каталогов с директивами политики для них. Эти директивы представлены либо кодовыми буквами, либо именами переменных. Они называются масками свойств и задают свойства, отслеживаемые Tripwire. В табл. 7.4 перечислены элементы, которые могут отслеживаться для каждого файла, и их кодовые буквы.

Таблица 7.4. Маски свойств Tripwire

Буква кодаОтслеживаемый атрибут
aВремя последнего доступа
bОтведенные блоки
сВремя создания/изменения
dИдентификатор устройства, на котором располагается описатель файла
gИдентификатор владеющей группы файла
iНомер описателя файла
lРазрешен ли рост файла
mМетка времени изменения
nЗначение счетчика ссылок в описателе файла
pРежим доступа к файлу
sРазмер файла
tТип файла
uИдентификатор пользователя владельца файла
CХэш-код CRC32
HХэш-код Haval
MХэш-код MD5
SХэш-код SHA/SHS

Политики Tripwire действуют по принципу флагов игнорирования. Можно сконфигурировать Tripwire для отслеживания или игнорирования различных свойств файлов. Знак + (плюс) используется для отслеживания свойств, а знак - (минус) - для их игнорирования. Формат инструкций в файле политики таков:

имя_файла/каталога -> маска_свойств;

Например, следующая строка в файле политики

/etc/secretfile.txt -> +amcpstu;

предписывает Tripwire извещать вас всякий раз, когда у файла secretfile.txt в каталоге /etc изменяются время последнего доступа, время создания или модификации, режим доступа, владелец, размер или тип файла.




Начало  Назад  Вперед



Книжный магазин