ID: 6820

Название работы: Контроль целостности файловой системы Linux с помощью утилиты Tripwire

Категория: Лабораторная работа

Предметная область: Информатика, кибернетика и программирование

Описание: Контроль целостности файловой системы Linux с помощью утилиты Tripwire Путем вычисления контрольной суммы можно не только определить подлинность дистрибутива перед установкой, но и регулярно проверять целостность системных файлов в процессе работы в...

Язык: Русский

Дата добавления: 2013-01-08

Размер файла: 122.5 KB

Работу скачали: 4 чел.

Контроль целостности файловой системы Linux с помощью утилиты Tripwire

Путем вычисления контрольной суммы можно не только определить подлинность дистрибутива перед установкой, но и регулярно проверять целостность системных файлов в процессе работы во избежание несанкционированного проникновения в сеть

Хотя лицензия Linux/Free BSD позволяет использовать дистрибутив, купленный на радиорынке, с тем же успехом, что и приобретенный у официального дистрибьютора, но доверять веб-сервер стоимостью свыше тысячи у. е. диску за несколько десятков гривен лично я бы не рискнул.

Конечно, этот диск — это, скорее всего, просто «слитый» с сайта и записанный на болванку ISO-образ. Но гарантировать этого никто не может — что мешает заменить некоторые пакеты на доработанные под свои нужды с «трояном» внутри? Причем самому и выдумывать-то ничего не надо, все давно есть в Сети.

Если же другого выхода нет или просто нужно установить программу, не входящую в основной дистрибутив, то всегда нужно проверить его на совпадение контрольной суммы.

В большинстве FTP-архивов вместе с файлом можно найти информацию о контрольной сумме. Эта информация находится либо в отдельном файле вроде CHECKSUM.MD5, либо непосредственно на веб-странице. Такая проверка по алгоритму MD5 по возможности гарантирует, что в файле нет изменений и перед вами действительно оригинал.

Узнать контрольную сумму скачанного файла очень просто:

$ md5sum mysql-max-3.23.55-unknown-freebsd4.7-i386.tar.gz 9b543fbel2c2980c66d365ca68e819b0

Сравнив оба значения контрольных сумм, можно сделать вывод о подлинности файла. Проверка контрольной суммы должна войти в привычку при каждой установке программного обеспечения. По этой же причине никогда не стоит брать файл с первого попавшегося сервера. Лучше всего зайти либо на домашнюю страницу, либо на специальные сайты вроде http://rpmfind.net/ и http://www.freshports.org/.

С помощью контрольной суммы можно не только проверить устанавливаемые программы. Если злоумышленник проникнет в сеть, то первым его действием, скорее всего, будет установка или изменение некоторых программ. Например, он может заменить стандартную и довольно часто используемую программу ps на другую, с «трояном» внутри, а команда ls может не заметить созданных им каталогов.

Чтобы избежать этого и иметь инструмент, позволяющий проконтролировать целостность системных файлов, применяются утилиты, которые автоматически проверяют значения контрольных сумм файлов и каталогов и заносят их в свою базу данных. Впоследствии системный администратор может в автоматическом режиме сверить оригинальную, созданную при установке базу данных с имеющимися в системе файлами — и при расхождении контрольных сумм выдать предупреждение по электронной почте. Это позволит сразу же узнать о вторжении и оценить ущерб.

Следует отметить, что все эти средства не отменяют, а, скорее, дополняют другие методы защиты. Причем средства, контролирующие состояние файлов, имеют некоторое преимущество перед программами, выявляющими вторжение по наличию определенных сигнатур, хотя ничто не мешает использовать комплексный подход.

Наиболее популярное средство для решения этой задачи - утилита Tripwire. Она доступна как OpenSource (www.tripwire.org) и как 30-дневная ознакомительная версия (www.tripwire.com). Скачать ее вместе с документацией (tripwire-docs можно с http: //download.sourceforg..net /tripwire/.

По окончании установки необходимо выполнить первоначальную инициализацию базы данных. Но для того чтобы не пришлось делать это дважды, лучше сразу отредактировать файлы конфигурации и политик.

Для этого в каталоге /etc/tripwire (в FreeBSD — /usr/local/etc/tripwire) имеются два шаблона в виде текстовых файлов. В файле twcfg.txt содержится информация о размещении файлов базы данных (ее конкретное содержание зависит от системы), а также используемый по умолчанию редактор, почтовый клиент и его параметры.

В файле twpol.txt содержится политика, состоящая из серии правил, за выполнением которых следит Tripwire, данные для объектов контроля, важность контролируемого объекта и для каждой группы контроля — адрес электронной почты (emailto=), на который высылается уведомление о нарушении. При необходимости можно указать сразу несколько адресов через запятую.

Здесь же желательно заменить TEMPDIRECTORY= /tmp на каталог с нормальными правами доступа (в /tmp для всех rwx). Во избежание несанкционированного изменения все важные файлы Tripwire хранятся на диске в закодированной и подписанной форме. Сама база данных, политики, конфигурация и иногда файл отчета защищены асимметричной криптографией El Gamal с 1024-разрядной сигнатурой. El Gamal использует шифрование с одним открытым и одним закрытым ключом. В криптографической системе Tripwire. Эта пара ключей хранится в двух файлах.

Файлы конфигурации и политики защищены от записи открытым ключом, а база данных и отчеты — локальным ключом. Для чтения достаточно открытого ключа, но для записи требуется закрытый ключ, защищенный паролем. Поэтому после их редактирования в соответствии с настройками системы необходимо запустить скрипт twinstall.sh, находящийся в этом же каталоге. После этого программа запросит фразы site и local (желательно, не менее 8-ми символов) для генерации соответствующих ключевых пар. Затем в каталоге образуются зашифрованные файлы конфигурации и пополитики tw.cfg и tw.pol, а также файлы ключей /etc/tripwire/site.key и /etc/tripwire/host-local.key. В целях безопасности рекомендуется по окончании инсталляции удалить файлы шаблонов из данного каталога.

Проведем начальную настройку и инициируем базу данных:

#/etc/tripwire/twinstall.sh  

#/usr/sbin/tripwire --init

После запроса локального пароля программа создает «отпечаток» важных системных файлов (размер, контрольная сумма, права, время доступа и т. п.) и записывает ее в файл

в каталоге /var/lib/tripwire/$(HOSTNAME).twd. При создании базы данных обратите внимание на сообщения об ошибках, например:

### Filename:   /bin/bash  ### No such file or directory ### Continuing...

### Warning:   File system error.

### Filename:   /bin/ash.static ### No such file or directory ### Continuing...

Это означает, что в конфигурационный файл занесена лишняя информация. Желательно тут же внести исправления — иначе эти сообщения в дальнейшем постоянно будут вас преследовать и перегружать лог-файл.

Полученная база данных ежедневно сравнивается с текущим состоянием файловой системы. При этом выдаются довольно подробные отчеты. Это позволяет обнаружить   добавленные, измененные и удаленные файлы. Такое расположение файла удобно при проверке согласованности  файловой системы с помощью демона cron, позволяющего полностью автоматизировать данный процесс, включая информирование по указанному электронному адресу о результатах проверки.

Но потенциальный злоумышленник, обнаружив присутствие утилиты, при получении определенных прав может заменить (обновить) базу данных или полностью переустановить Tripwire (что гораздо проще). После такой модификации утилита проверки не заметит подвоха — и вы будете получать по почте сообщения о том, что с системой все нормально, пока в один прекрасный день не обнаружите несовпадение парольных фраз. Такой вариант также предусмотрен разработчиками. Во избежание его необходимо поместить в дисковод отформатированную дискету и присвоить переменной TRIPWIRE_FLOPPY=YES значение с командой тaке install

$make  install  TRIPWIRE_FLOPPY= YES 

Или просто создать резервную базу данных:

$make floppy

В результате на дискету будет скопировано все, что необходимо для восстановления системы и автономной работы утилит: копия начальной базы данных системы, утилиты Tripwire, Twcheck и Gunzip и копия файлов настройки tripwire.

Конечно, все это может не поместиться на 1,44 Мб даже после архивирования. К сожалению, единственный выход в этом случае — уменьшить количество объектов базы данных. Как бы то ни было, на всякий случай желательно резервировать всю систему вместе с Tripwire и периодически сверять оригинальную и рабочую базы данных.

Для проверки системы запускается tripwire -- check. Можно явно указать имя файла создаваемого отчета:

$tripwire --check –r  имя_файла_отчета.twr

Tripwire сравнивает текущее состояние системы с сохраненным в базе данных и при несоответствии выдает сообщение. Программа замечает даже такие мелочи, как изменение времени модификации. Аналогично выполняет ежедневную проверку демон cron посредством /etc/cron.daily /tripwire-check.

Если вам недосуг ждать, пока система все проверит, можно указать опцию 

--email-report:

$tripwire --check --email-report

Тогда сообщение будет послано всем получателям, указанным в файле политики, в формате, определенном в EMAIL-REPORTLEVEL. Но перед началом эксплуатации желательно проверить работу электронной почты с помощью команды:

$tripwire --test --email user@domain.com

Если нужно проверить не всю систему, а только отдельные ее объекты, их можно сразу указать так:

$tripwire --check objectl object2 object3

Системные файлы разбиты по группам важности, что позволяет более гибко строить отчеты. Благодаря этому для сокращения отчета можно проигнорировать некритичные для системы. Для того чтобы проверить файлы, начиная со средней степени важности и выше, можно ввести такую команду:

#tripwire --check --severity 66

Или использовать поверку правил по имени, которые прописаны в файле tw.pol,--rule-name. Для проверки системных файлов используется команда:

#tripwire --check --rule-name  "File System and Disk Administraton Programs"

При необходимости частых проверок определенного типа замените длинные имена по умолчанию на более короткие.

Ключ --interactive позволяет изменить БД в диалоговом режиме. Можно также отредактировать форму изменения БД, в которой каждый заносимый файл отмечается крестиком в секции Object Summary, в текстовом редакторе, который запускается при помощи команды --visual <имя-peдактора> или прописывается в конфигурационном файле с помощью переменной EDITOR или переменных окружения VISUAL или EDITOR. Для такого редактирования БД нужно знать пароль.

В процессе работы некоторые утилиты обновляются или заменяются другими. Поэтому базу данных приходится обновлять с помощью опции --update. Для обновления всей системы используется команда:

$tripwire –update –r имя_файла_отчета.twr

(обновление состоит в актуализации базы данных согласно состоянию, зафиксированному в файле отчета).

Если же нужно обновить только сведения об определенной программе, то:

$tripwire --update /usr/sbin/sshd

После всех проверок создается отчет. По умолчанию это файл /var/lib/tripwire/report/(HOSTNAME)-$(DATE).twr .

Сразу после создания он называется примерно так: localhost-20030327-071039.twr. Но при помощи команды

#tripwire --check --twrfile /var/lib/report/myreport.twr

можно задать другое имя, которое удобнее использовать в скриптах.

По умолчанию, при генерации отчетов используется REPORT-LEVEL = 3 (Concise Report), выводящий довольно подробную информацию, в том числе и об ожидаемых и наблюдаемых значениях. Этот режим можно изменить в файле tw.cfg. Tripwire позволяет гибко задавать параметры отчетов, зависимо от потребности в той или иной информации. Для этого по ходу работы изменяется report-level в пределах от 0 до 4:

#twprint --print-report --report-level 1 --twr-file /var/lib/report/report.twr

Если понадобится внести глобальные изменения, можно получить расшифрованную копию конфигурационного файла при помощи команды:

#twadmin -print-cfgfile > /etc/tripwire/twcfg.txt

После внесения и сохранения изменений зашифрованный файл создается командой:

#twadmin --create-cfgfile --site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt

По мере добавления новых файлов, которые вы желаете контролировать, а также по мере изменения уровня значимости и удаления старых файлов, изменения адресов электронной почты и засорения файла отчетов ложными сообщениями файл политик начинает нуждаться в изменениях. Прежде чем что-либо менять, нужно создать копию файла политик с помощью команды:

#twadmin --print-polfile > /etc/tripwire/twpol.txt

После внесения изменений модифицируем политики следующим образом:

#tripwire --update-policy /etc/tripwire/twpol.txt

Ключевые файлы site и lосаl образуются во время первого запуска, но иногда возникает необходимость в их полной замене. Пароль меняется только при смене ключей, поэтому, для того чтобы изменить его, надо предварительно дешифровать все файлы, сгенерировать новые ключи, а затем зашифровать файлы с новыми ключевыми данными.

Если при этом вы забудете пароль или удалите файлы с ключами, то все зашифрованные файлы: конфигурация, политики, база данных и отчеты — после шифрования станут недоступны. Лучшим выходом из такой ситуации представляется переустановка всей системы.

Кстати, отметим: шифрование не помешает хакеру, если тот получит определенные права, попросту удалить любой файл, включая саму базу данных Tripwire. Поэтому использование Tripwire не отменяет обязательного резервного копирования.

Узнать, какой ключ был использован (и был ли использован вообще) для шифрования файла, можно при помощи такой команды:

#twadmin  --examine  filel   file2

Шифрование отменяется (при этом запрашивается пароль, сам файл остается в двоичном формате) так:

#twadmin --remove-encryption filel  file2

Затем создаем новый ключ:

#twadmin   --generate-keys   --local-keyfile /etc/tripwire/localkey.key

или

#twadmin  --generate-keys  --site-keyfile /etc/tripwire/sitekey.key

и шифруем файл:

#twadmin   --encrypt --local-keyfile /etc/tripwire/
localkey.keyfilel  file2

или:

#twadmin --encrypt --site-keyfile /etc/tripwire/sitekey.key filel  file2

База данных хранится в закодированном двоичном формате. Для распечатки ее в виде текстового файла можно воспользоваться дополнительной утилитой, входящей в комплект Twprint. При использовании базы данных по умолчанию команда выглядит так:

#twprint --print-dbfile > db.txt

А для произвольной базы данных — так:

#twprint --print-dbfile —dbfile otherfile.twd > db.txt
Аналогично поступаем в случае файла с отчетом:

#twprint --print-report --twrfile имя_файла_с_отчетом

В комплект пакета входит вспомогательная программа, вычисляющая контрольную сумму методами CRC-32, MD5, HAVAL и SHA в реализации Tripwire, что позволяет сравнить производительность различных методов.

При необходимости повторить установку Tripwire, удалите в каталоге /etc/tripwire все файлы, кроме twcfg.txt, twinstall.sh и twpol.txt, а также файлы базы данных (.twd) и отчетов (.twr) в каталогах /var/lib/tripwire и /var/lib/tripwire/report.

Конечно, Tripwire — далеко не панацея. Но использование этой утилиты существенно усложнит жизнь желающим покопаться в чужом компьютере. Она вовремя предупредит администратора о том, что происходит.

Форматы конфигурационных файлов

Конфигурационный файл настроек /etc/tripwire/tw.cfg (twcfg.txt) содержит пути к вспомогательным программам, адрес электронной почты и каталоги для размещения конфигурационных файлов Tripwire. Файл структурирован как список пар имя_переменной = значение. Все строки, которые начинаются с символа #, считаются комментариями.

К некоторым переменным можно обращаться как $(имя_переменной). Две переменные имеют стандартные значения, которые нельзя изменять. Это HOSTNAME (простое имя хоста) и DATE (представление времени в формате 20030427-111033). Обязательными переменными являются следующие:

•  POLFILE = /etc/tripwire/tw.pol — имя файла политик;
•  DBFILE =/var/lib/tripwire/$(HOSTNAME).twd — ими файла с базой данных;
•  REPORTFILE = /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr  — шаблон имен файлов с отчетами;
•  SITEKEYFILE = /etc/tripwire/site.key — открытый ключ;
•  LOCALKEYFILE = /etc/tripwire/$(HOSTNAME)-local.key — закрытый ключ.

Помимо обязательных, есть и дополнительные переменные:

•  EDITOR = /bin/vi — имя текстового редактора, используе мого в интерактивном режиме. Если таковой не определен, используется программа, указанная в системной переменной $VISUAL или $EDITOR;
•  TEMPDIRECTORY =/tmp - каталог временных файлов;
•  LATEPROMPTING = false — запрашивать пароль в последнюю очередь, чтобы он как можно меньше находился в системной памяти;
•  SYSLOGREPORTING = true — выдавать на syslog уровни user и notice — сообщения о создании базы данных, проверках, изменениях базы данных и политик, с уровнем подробности 0;
•  LOOSEDIRECTORYCHECKING = false — при значении true не выдает лишних сообщений об изменениях atime
•  и mtime для каталогов, в которых был добавлен или удален контролируемый файл; эквивалентно добавлению snacmblCMSH для всех каталогов:
•  REPORTLEVEL = 3 — уровень подробности отчета Twprint, используемый по умолчанию.

Параметры сообщения, отправляемого по электронной почте, определяются следующими переменными:

•  GLOBALEMAIL = список_адресов — адресаты, указанные в списке, получают сообщения по умолчанию;
•  MAILMETHOD = SMTP или SENDMAIL — используемый Tripwire протокол для передачи сообщений;
•  SMTPHOST = имя_или_адрес — имя домена или IP-адрес сервера SMTP. Игнорируется, если предыдущая переменная не установлена в SMTP;
•  SMTPPORT = 25 — номер порта, используемый с SMTP. Игнорируется, если MAILMETHOD — не SMTP;
•  MAILPROGRAM - /usr/sbin/sendmail -oi -t — путь к почтовой программе. Если MAILMETHOD = SENDMAIL. то это может быть любая программа, удовлетворяющая RFC 822;
•  EMAILREPORTLEVEL = 3 — уровень подробности отчета для почтовых извещений;
•  MAILNOVIOLATIONS = false — не посылать письма, если не зафиксировано нарушений политик. При значении
  true в этом случае будут приходить сообщения об отсутствии нарушений. Полезно для контроля функционирования системы, но увеличивает количество писем.

Конфигурационный файл политик /etc/tnpwire/tw.pol (twpol.txt) состоит из серии правил, определяющих для каждого объекта, какой реквизит должен быть собран и сохранен в файле базы данных. Каждый объект в файле политик связан с маской свойства, которая определяет, что именно должна контролировать утилита Tripwire. Настраивая различные параметры файла политик, администратор системы может гибко определить способы проверки целостности системы с помощью Tripwire.

Основным компонентом файла политик являются правила (rules), в которых определяются проверяемые свойства для каждого объекта. Файлы, расположенные в дочерних каталогах, наследуют правила родительского каталога — при условии, что внутренние каталоги находятся на одном и том же дисковом устройстве. В противном случае правила определяются отдельно.

Как и в конфигурационном файле, в файле политик возможно использование комментариев и переменных. Кроме проверяемых объектов, могут дополнительно указываться игнорируемые, что позволяет исключить "лишние" файлы, например:

object name -> property mask   [attribute=value ...];

object name;

Пробелы в имени объекта игнорируются. Чтобы обойти это давило, имена с пробелами заключают в кавычки. То же касается и самих символов кавычек, а также остальных специальных символов, используемых в C++ в качестве управляющих. Это !{}>(),;=$# | \+ ’. Их заменяют на \n, \t, \v, \b, ' ' \f, \a, \\, \?, V, \”, а также числа, заданные в восьмеричной и шестнадцатеричной форме, например /te\x73t2.

Проверяемые свойства задаются маской, где каждому свойству соответствует определенная буква. При отсутствии заданных свойств объект не проверяется. Если перед буквой стоит "минус", свойство игнорируется, если "плюс" - проверяется. Если знака перед буквой нет, подразумевается предыдущий заданном правиле знак или, при отсутствии знаков -"плюс".

Проверяются следующие свойства (формат [+-]*[pinugtsldbamcrCMSH]):   

•  p - права доступа;
•  i - inode;
•  n — число жестких ссылок;
•  u - uid;
•  g - gid;
•  t -тип файла;
•  s - размер;
•  l -считается, что файл будет расти; если он уменьшился, фиксируется нарушение (полезно для ведения журнала);
•  d - номер устройства, на котором хранится соответствующий inode;
•  b - число блоков;
•  a - время доступа (несовместим с +CMSH, так как для вычисления суммы необходимо прочитать файл; доступ к содержимому директории меняет время последнего доступа к ней. Этого можно избежать при помощи recurse = false, LOOSEDIRECTORYCHECKING = true и правила -а);
•  m — время последней модификации;
•  с — время создания/модификации inode;
•  r — номер устройства для файлов устройств;
•  С — контрольная сумма по CRC-32, POSIX 1003.2 (самый быстрый, но наименее защищенный из представленных вариант);
•  М — контрольная сумма по MD5 RSA Data Security;
•  S — контрольная сумма по SHS/SHA-алгоритму;
•  Н — контрольная сумма по HAVAL.

Рекомендуется использовать свойства С, М, S, Н для файлов парами - а не все четыре сразу, так как определение всех четырех существенно снизит производительность.

Атрибуты правил определяют поведение объектов и предоставляют дополнительную информацию о них. Атрибуты записываются в виде списка, каждый элемент которого имеет вид имя = значение и отделен от других элементов запятыми. Атрибуты могут применяться как к отдельному правилу, так и к группе правил. Атрибут для отдельного правила записывается так:

/usr/lib -> $(Readonly)   ( emailto = admin@foo.com );

Группа правил заключается в фигурные скобки. Список атрибутов для группы правил записывается в скобках перед ней:

(attribute = value)   {rulel;  rule2;   ...   }

Индивидуальные атрибуты имеют больший приоритет, чем групповые, за исключением атрибута emailto — в этом случае атрибут добавляется к предыдущим, например:

(emailto = adminl@foo.com,   severity = 90)   { /etc/dog-> +pingus   (severity = 75);   /etc/cat-> $(Dynamic)   (emailto = admin2@foo.com);   }

Могут использоваться следующие атрибуты:  

•  rulename — простое имя файла, используемое по умолчанию в отчетах, для группировки правил, для проверки части правил. Рекомендуется выбирать короткое и понятное имя;
•  emailto — адрес электронной почты, на который по умолча нию высылаются сообщения. Несколько адресов перечисляются через точку с запятой и заключаются в кавычки;
•  severity — уровень серьезности правила (от 0 до 1000000, по умолчанию — 0}. Чем больше значение, тем серьезнее уровень. Проверка выполняется только для правил указанного уровня и выше. В командной строке могут использоваться ключи: high — уровень 100, medium — уровень 66, low — уровень 33;
•  recurse — рекурсивная проверка директорий. По умолчанию имеет значение true (-1), что соответствует  режиму полного просмотра. Возможно также значение false (0) или любое другое положительное число (максимальный уровень вложенности до 1000000).

Tripwire поддерживает небольшой набор preprocessor-подобных директив, которые группируют правила, обеспечивают условное выполнение, выполняют простейшую диагностику и отладку. Первичное назначение этого механизма состоит в обеспечении совместного использования файла политики несколькими машинами. Директивы имеют следующий синтаксис: @@directive [arguments]. При этом сама директива не может быть получена как значение переменной, но переменные могут использоваться в качестве параметров. Обрабатываются следующие директивы:

•  @@section имя — предназначена, в основном, для работы с Windows NT. В Unix обрабатываются только правила в первой секции с именем FS: если секций нет, то обрабатываются все правила, интерпретирующиеся как правила UNIX. Поэтому файл политики, разработанный для Windows NT. может вызвать проблемы при использовании в UNIX. Глобальные переменные определяются в секции GLOBAL;
•  @@ifhost имя_хоста {|| имя_хоста} — использовать пра
  вила только для указанного хоста (хостов}. Условия могут
  быть вложенными:
•  @@else и @@endif — обработка условных выражений вместе с @@ifhost @@ifnost machine1 || machine2 /usr/bin ->+pinug; @@eise /usr/bin -> +pinugsmC; @@endif;
•  @@print "строка в кавычках" — вывод на stdout;
•  @@error "строка в кавычках" — вывод на stdout и завершение со статусом 1;
•  @@end (весь последующий текст в файле игнорируется; не может использоваться внутри группы или условного блока).

В файле политики применяются два типа переменных. Область действия глобальных переменных распространяется на весь файл политики: область действия локальных переменных, определенных в разделе UNIX, ограничена только этим разделом. Если глобальная и локальная переменные имеют одинаковые имена, локальная переменная получает больший приоритет в своем разделе, временно маскируя глобальную переменную. Значение переменной присваивается командой имя_переменной = значение, подстановка значения осуществляется конструкцией $(variable). Существуют следующие предопределенные переменные:

•  ReadOnly = +pinugsmtdbCM-ractSH (предполагается, что файлы доступны только для чтения);
•  Dynamic = +pinugtd-rsacmblCMHS (предполагается частое изменение содержимого файлов, например /home, /var);
•  Growing = +pinugtdl-rsacmbCMSH (предполагается, что файлы (например, журналы) будут только расти);
•  IgnoreAll= -pinusgamctdrblCMSH (проверяется только наличие или отсутствие файла):
•  IgnoreNone = +pinusgamctdrbCMSH -l (проверяются все свойства; переменная предназначена для конструирования собственной маски, например, $(IGnoreNone)- ar — для предупреждения нарушения времени доступа);
•  Device=+pugsdr-intlbamcCMSH (для устройств и файлов, которые нельзя открывать).

Уровни отчетов:

•  Уровень 0. Отчет одной строкой. Появляется всегда в строке Subject сообщения электронной почты и имеет такой формат:
  TWReport имя-хоста дата-и-время V:число-нарушений S:макс-уровень А:добавлено R:удалено С:изменено TWReport LIGHTHOUSE 19991021134026 V:45 S:100 A:2 R:l C:6
•  Уровень 1. Список имен измененных файлов в виде, легко разбираемом программой автоматического восстановления или подобной. Каждая строка состоит из ключевого слова (Added. Modified), двоеточия и имени файла:
  Added: /usr/bin/bash Modified:/usr/bin
•  Уровень 2. Сводный отчет. Включает список нарушений с указанием правил, а также список добавленных, измененных и удаленных файлов. В разделе Object Summary содержится подробный список измененных файлов.
•  Уровень 3. Сводный отчет. Включает список нарушений с указанием правил, а также список добавленных и удаленных файлов, ожидаемые и реальные свойства измененных файлов и дополнительные подробности.
•  Уровень 4. Максимально подробный сводный отчет, содержащий список нарушений с указанием правил, список добавленных, измененных и удаленных файлов, подробный отчет по каждому добавленному (все свойства), каждому измененному (все проверяемые, ожидаемые и реальные свойства) и каждому удаленному файлу (все проверяемые и ожидаемые свойства). Отличающиеся параметры помечаются звездочкой в начале строки.

Задание по лабораторной работе:

1.  Установите tripwire (twinstall.sh) и инициируйте базу данных.
2.  Перезагрузите систему. Какие файлы при этом изменятся. Проверьте изменения, зафиксированные tripwire и сохраните файл отчета.
3.  Обновите базу tripwire.
4.  Убедитесь, что база соответствует текущему состоянию файловой системы (осуществите проверку файловой системы и сравните с результатами предыдущей проверки).