之前研究过安装和配置Tripwire来捕获可能对系统进行更改的入侵者。今天,本教程Hostease美国服务器商将展示如何设置Tripwire来定期扫描系统,并在发生更改时向管理员发送通知。
使用mail命令发送Tripwire检查的结果,该检查是与前面的mailutils包一起安装的。这个命令将允许通过管道将命令的输出传送给它,并将其作为电子邮件的主体发送出去。以下是示例:
sudo Tripwire –check | mail -s “Tripwire test email” address@example.com
首先,先解释以上命令,以上命令会运行以前看到的Tripwire检查。然后,该命令的输出通过管道传输到mail命令。-s标志指定应使用以下字符串作为电子邮件的主题,然后该行以电子邮件要发送到的电子邮件地址结束,可以根据自己的需求定制主题,并将电子邮件地址更改为希望从Tripwire接收报告的地址。
进行了更改并执行了该命令之后,将需要检查邮箱中的电子邮件,这封邮件可能会被发送到垃圾邮件文件夹,所以如果在收件箱里看不到这封邮件,就需要进行检查。如果电子邮件没有发送,那么需要使用/var/log/mail.log文件开始调试,或者检查独立服务器上根用户的电子邮件是否有跳转消息。成功接收电子邮件后,现在可以配置cron任务来运行检查,根据习惯或担心程度,可以随时检查。本例中,将配置Tripwire在每天凌晨一点执行检查。首先,需要编辑cron表:
sudo crontab -e
在文件打开时,将下面的行添加到末尾,并对前面所做的Tripwire命令进行调整:
0 1 * * * /usr/sbin/Tripwire –check | /usr/bin/mail -s “Tripwire test email” address@example.com
注意,现在不需要sudo命令,正在为命令指定准确的路径名。随着命令行就位,可以保存并退出,这将提示Tripwire执行夜间检查。管理员应该能够每天早上检查电子邮件的变化,如果没有收到电子邮件,这表明cron表可能被篡改了。最后需要注意的是,如果更改了触发Tripwire的内容,那么应该怎么做。在本例中,可以使用–interactive标志运行Tripwire检查:
sudo Tripwire –check –interactive
这将把检查的输出放入默认的文本编辑器,并在顶部附近增加一些命令行。这些行将以方括号“[x]”中的x作为前缀。对于Tripwire执行添加、修改和删除文件的每个检查,都将显示在顶部。保存并退出该文件将导致Tripwire默认为所有标记为x的文件都是打算进行的更改,并且不再需要为这些更改发出警报。管理员需要检查它发出警报的所有文件,并确保同意接受更改。对于不满意的文件,可以删除x,保留空方括号“[]”。保存并退出文件时,未标记为x的文件仍将被Tripwire标记为警报。系统将提示输入本地密码,以便Tripwire将这些更改更新到其数据库。
此时,Tripwire已经设置完毕,现在管理员应该知道独立服务器上是否有任何更改。请注意,这里只涵盖了在前面介绍过的基本策略配置中定义的设置,为了保护服务器中所有需要保护的元素(例如网站),管理员需要创建自己的策略规则来监控这些元素。