在CentOS5上安装tripwire 2.4.1.2 .教程是 CentOS攻略站上的。
执行tripwire-check脚本后,时间非常之长,占资源很多,也可能使我的机器配置过低的问题。
检查他的脚本内容,发现是对整个磁盘的监控,即直接用 tripwire --check -r "记录地址" |logger -t tripwire 来做的,这样对整个磁盘检查,自然很慢, 另外还有一个费时的操作,就是对数据库的重新初始化,即 tripwire --init 操作。
那么对于小型的系统,比如我的,完全是作为学习之用(我是在虚拟机上装的L,目的是为了搭建网络环境来做实验,512内存,1.4GHz CPU ,分给虚拟机一半内存,速度可想而知,太慢了~~),那么完全可以只让他监控特定的文件夹,并且把初始化数据库工作改为更新数据库。
[重要]! 检查的位置,设备,文件夹必须在 twpol.txt中定义规则,然后加密成tw.pol文件来定义。
检查的位置只在文件中定义好的位置有效。
监控文件夹在twpol.txt中完成。
运行/发邮件给root/更新在脚本中完成。
更新代码实例:
#wiretrip --update -P $LOCALPASSWORD -a --twrfile $twrfilepath
-P 指定local密码,-a 使之不用vi编辑生成的报告( 默认在完成更新之后会打开vi,以编辑报告,很烦人),
--twrfile 指定你的 twr 文件位置
让监测脚本每天自动运行
[root@sample tripwire]# cd ← 进入Tripwire运行脚本所在的root目录
[root@sample ~]# mv tripwire-check /etc/cron.daily/ ← 转移脚本到每天自动运行的目录中
本地浏览报告的方法:
[root@sample ~]# ls -l /usr/local/lib/tripwire/report/ ← 监测报告所在目录的文件列表
total 32
-rw-r--r-- 1 root root 8222 Aug 23 05:46 sample.centospub.com-20060823.twr ← 比如想浏览此篇报告
-rw-r--r-- 1 root root 8230 Aug 23 05:46 sample.centospub.com-20060823.twr.bak
[root@sample ~]# cd /etc/tripwire ← 进入Tripwire配置文件所在目录
[root@sample tripwire]# twprint
-m r -c tw.cfg -r
"/usr/local/lib/tripwire/report/sample.centospub.com-20060823.twr" -L
sample.centospub.com-local.key -t 4 > tripwire-report ← 将监测报告保存到名为tripwire-report的文件中
参考该帖子,http://www.centospub.com/make/tripwire.html有详细的教程说明
但是有小错误,我把 tripwire-check 文件脚本直接复制使用,结果是每次运行都会向邮箱发送邮件,不论是否有改动过文件。 察看一下脚本内容,发现有个字符串的空格位数少了:
if [ -z "$(grep 'Total violations found: 0' $REPORTPRINT)" ]; then
这一行中的'Total violations found: 0'
应该变成为'Total violations found: 0'
------------
另外还有一贴子讲得很详细
http://blog.sina.com.cn/s/blog_53f768e4010003rh.html