在CentOS5上安裝tripwire 2.4.1.2 .教程是 CentOS攻略站上的。
執(zhí)行tripwire-check腳本后,時間非常之長,占資源很多,也可能使我的機器配置過低的問題。
檢查他的腳本內容,發(fā)現(xiàn)是對整個磁盤的監(jiān)控,即直接用 tripwire --check -r "記錄地址" |logger -t tripwire 來做的,這樣對整個磁盤檢查,自然很慢, 另外還有一個費時的操作,就是對數(shù)據(jù)庫的重新初始化,即 tripwire --init 操作。
那么對于小型的系統(tǒng),比如我的,完全是作為學習之用(我是在虛擬機上裝的L,目的是為了搭建網(wǎng)絡環(huán)境來做實驗,512內存,1.4GHz CPU ,分給虛擬機一半內存,速度可想而知,太慢了~~),那么完全可以只讓他監(jiān)控特定的文件夾,并且把初始化數(shù)據(jù)庫工作改為更新數(shù)據(jù)庫。
[重要]! 檢查的位置,設備,文件夾必須在 twpol.txt中定義規(guī)則,然后加密成tw.pol文件來定義。
檢查的位置只在文件中定義好的位置有效。
監(jiān)控文件夾在twpol.txt中完成。
運行/發(fā)郵件給root/更新在腳本中完成。
更新代碼實例:
#wiretrip --update -P $LOCALPASSWORD -a --twrfile $twrfilepath
-P 指定local密碼,-a 使之不用vi編輯生成的報告( 默認在完成更新之后會打開vi,以編輯報告,很煩人),
--twrfile 指定你的 twr 文件位置
讓監(jiān)測腳本每天自動運行
[root@sample tripwire]# cd ← 進入Tripwire運行腳本所在的root目錄
[root@sample ~]# mv tripwire-check /etc/cron.daily/ ← 轉移腳本到每天自動運行的目錄中
本地瀏覽報告的方法:
[root@sample ~]# ls -l /usr/local/lib/tripwire/report/ ← 監(jiān)測報告所在目錄的文件列表
total 32
-rw-r--r-- 1 root root 8222 Aug 23 05:46 sample.centospub.com-20060823.twr ← 比如想瀏覽此篇報告
-rw-r--r-- 1 root root 8230 Aug 23 05:46 sample.centospub.com-20060823.twr.bak
[root@sample ~]# cd /etc/tripwire ← 進入Tripwire配置文件所在目錄
[root@sample tripwire]# twprint
-m r -c tw.cfg -r
"/usr/local/lib/tripwire/report/sample.centospub.com-20060823.twr" -L
sample.centospub.com-local.key -t 4 > tripwire-report ← 將監(jiān)測報告保存到名為tripwire-report的文件中
參考該帖子,http://www.centospub.com/make/tripwire.html有詳細的教程說明
但是有小錯誤,我把 tripwire-check 文件腳本直接復制使用,結果是每次運行都會向郵箱發(fā)送郵件,不論是否有改動過文件。 察看一下腳本內容,發(fā)現(xiàn)有個字符串的空格位數(shù)少了:
if [ -z "$(grep 'Total violations found: 0' $REPORTPRINT)" ]; then
這一行中的'Total violations found: 0'
應該變成為'Total violations found: 0'
------------
另外還有一貼子講得很詳細
http://blog.sina.com.cn/s/blog_53f768e4010003rh.html