在公共互联网上运行独立服务器时,要处理的最大问题之一是黑客和小脚本试图闯入并使用独立服务器的资源来达到自己不可告人的目的。一般来说,这些人的行踪相当隐秘,他们进入一个系统之后,就会试图掩盖他们的踪迹,包括保护他们用来进入系统的方法,并建立自己的安全方法以保持他们已经获得的访问权,然而这可能意味着系统在他们被发现前的几个星期或几个月内就已经被破坏了。幸运的是,有一些工具可以帮助管理员捕获攻击者,比如Linux服务器系统的一个工具是Tripwire。顾名思义,它试图阻止攻击者并警告入侵,它会监控重要的系统文件并对任何可能是攻击者做的更改发出警告。当然,我们应该怎样避免黑客入侵呢?有关内容可以参考了解一下 避免黑客入侵的通用提示都有哪些。
安装Tripwire
对于Debian和Ubuntu系统,Tripwire包含在主存储库中,安装如下:
sudo apt-get update
sudo apt-get install Tripwire mailutils
安装通过两个屏幕,如果独立服务器上没有配置用于发送电子邮件的邮件应用程序,那么它将安装一个。如果没有任何设置,最简单的选择是“互联网站点”,然后独立服务器将直接发送电子邮件。请注意,来自此独立服务器没有配置的电子邮件可能会被邮件系统标记为垃圾邮件。
设置邮件系统后,安装程序将通知有关创建用于加密Tripwire配置文件的安全密钥,此外如果系统已经被破坏,攻击者可能能够在使用此安装程序时以未加密的格式访问这些密钥。在该屏幕按下确认后,系统会询问是否希望在安装过程中创建密钥,除非认为系统已经受到了损害,否则应该继续这样做,并按“是”创建密钥。如果不能确定,请单击“否”,然后手动创建密钥,具体原因将稍后解释。如果选择“是”,将再次看到一个类似的警告,Tripwire需要另一个密钥。单击“确定”,然后选择“是”,安装程序将创建密钥,或选择“否”,亲自创建密钥。安全风险与此前类似。
创建配置文件
当警告被一一确认,并且假设对它们说了“是”,系统将询问是否要为Tripwire创建配置文件,以及对文件存放位置的解释。这些文件将使用稍后设置的密钥进行加密,在这两个屏幕上选择“是”是有意义的。之后会出现一个屏幕,提示设置站点密钥密码,稍后将需要这个来更改Tripwire的配置,所以不要丢失了。输入密码后,下一个屏幕将要求再次确认密码并生成密钥,接下来将出现另一对类似的屏幕,显示加密Tripwire数据库的本地密钥。再说一遍,不要丢失此密钥。最后,安装结束时会显示一条消息,说明Tripwire已经安装,并告知文件的位置。
手动创建密钥
如果选择不使用安装程序创建密钥,现在可以使用以下命令来设置这些密钥:(有着密钥内容可以了解一下 什么是SSH密钥,如何结合Linux服务器使用)
sudo twadmin –generate-keys –site-keyfile /etc/Tripwire/site.key
sudo twadmin –generate-keys –local-keyfile /etc/Tripwire/$HOSTNAME-local.key
在每种情况下,系统都会提示提供一个密码短语。如果跳过了继续使用安装程序进行安装的部分,那么在重新配置Tripwire时将需要这些密码,因此它们必须是强密码,并且不能丢失它们,如果没有让安装程序创建密钥,也需要手动创建策略文件。现在将从默认文件开始:
sudo twadmin –create-polfile /etc/Tripwire/twpol.txt
系统将提示输入先前设置的站点密钥密码,以加密配置文件。
此时已经安装好了Tripwire,并使用严格的基本配置进行了配置。此配置使用之前设置的密码和密钥进行加密,防止任何入侵者篡改配置。关于第二部分Hostease美国服务器商将研究初始化Tripwire并根据系统开始配置合适的Tripwire策略文件。