講解了很多的Unix Tripwire的知識，這次，我們來對其基本知識進(jìn)行鞏固。當(dāng)Unix Tripwire運行在數(shù)據(jù)庫生成模式時,會根據(jù)管理員設(shè)置的一個配置文件對指定要監(jiān)控的文件進(jìn)行 讀取,對每個文件生成相應(yīng)數(shù)字簽名,并將這些結(jié)果保存在自己的數(shù)據(jù)庫中,在缺省狀態(tài)下,MD5和 SNCFRN(Xerox的安全哈希函數(shù))加密手段被結(jié)合用來生成文件的數(shù)字簽名.

除此以外,管理員還可使 用MD4,CRC32,SHA等哈希函數(shù),但實際上,使用上述兩種哈希函數(shù)的可靠性已相當(dāng)高了,而且結(jié)合MD5 和sncfrn兩種算法(尤其是sncfrn)對系統(tǒng)資源的耗費已較大,所以在使用時可根據(jù)文件的重要性做取舍.

當(dāng)懷疑系統(tǒng)被入侵時,可由Unix Tripwire根據(jù)先前生成的,數(shù)據(jù)庫文件來做一次數(shù)字簽名的對照,如 果文件被替換,則與Unix Tripwire數(shù)據(jù)庫內(nèi)相應(yīng)數(shù)字簽名不匹配, 這時Unix Tripwire會報告相應(yīng)文件被更動,管理員就明白系統(tǒng)不”干凈”了.

有一點要注意，上述保障機(jī)制的重點在于數(shù)據(jù)庫內(nèi)的數(shù)字簽名,如果數(shù)據(jù)庫是不可靠的,則一切工作都喪失意義.所以在Unix Tripwire生成數(shù)據(jù)庫后,這個庫文件的安全極為重要.比較常見的做法是將數(shù)據(jù) 庫文件, Unix Tripwire二進(jìn)制文件,配置文件單獨保留到”可拿走并鎖起來”的介質(zhì)上,如軟盤,將上述文件復(fù)制 到軟盤后,關(guān)閉寫保護(hù)口,鎖到保險柜中.

除軟盤外, 一次性介質(zhì),如cd-r也是很好的選擇,這樣即使侵入者拿到盤也無計可施. 除這種辦法外,利用PGP等加密工具對上述關(guān)鍵文件進(jìn)行數(shù)字簽名也是一個很好的選擇.

當(dāng)然,當(dāng)管理員自身對某些文件更動時, Unix Tripwire的數(shù)據(jù)庫必然是需要隨之更新的, Unix Tripwire考慮到了這一點,它有四種工作模式:數(shù)據(jù)庫生成,完整性檢查,數(shù)據(jù)庫更新.交互更新.當(dāng)管 理員更動文件后，可運行數(shù)據(jù)庫更新模式來產(chǎn)生新的數(shù)據(jù)庫文件。 Unix Tripwire的工作原理就是這樣的。

【編輯推薦】

1. Unix系統(tǒng)管理很棘手
2. Unix自動化問題講解
3. Unix管理配置文件
4. 深度講解Unix cfengine
5. Unix系統(tǒng)管理問題