6820

Контроль целостности файловой системы Linux с помощью утилиты Tripwire

Лабораторная работа

Информатика, кибернетика и программирование

Контроль целостности файловой системы Linux с помощью утилиты Tripwire Путем вычисления контрольной суммы можно не только определить подлинность дистрибутива перед установкой, но и регулярно проверять целостность системных файлов в процессе работы в...

Русский

2013-01-08

122.5 KB

4 чел.

Контроль целостности файловой системы Linux с помощью утилиты Tripwire

Путем вычисления контрольной суммы можно не только определить подлинность дистрибутива перед установкой, но и регулярно проверять целостность системных файлов в процессе работы во избежание несанкционированного проникновения в сеть

Хотя лицензия Linux/Free BSD позволяет использовать дистрибутив, купленный на радиорынке, с тем же успехом, что и приобретенный у официального дистрибьютора, но доверять веб-сервер стоимостью свыше тысячи у. е. диску за несколько десятков гривен лично я бы не рискнул.

Конечно, этот диск — это, скорее всего, просто «слитый» с сайта и записанный на болванку ISO-образ. Но гарантировать этого никто не может — что мешает заменить некоторые пакеты на доработанные под свои нужды с «трояном» внутри? Причем самому и выдумывать-то ничего не надо, все давно есть в Сети.

Если же другого выхода нет или просто нужно установить программу, не входящую в основной дистрибутив, то всегда нужно проверить его на совпадение контрольной суммы.

В большинстве FTP-архивов вместе с файлом можно найти информацию о контрольной сумме. Эта информация находится либо в отдельном файле вроде CHECKSUM.MD5, либо непосредственно на веб-странице. Такая проверка по алгоритму MD5 по возможности гарантирует, что в файле нет изменений и перед вами действительно оригинал.

Узнать контрольную сумму скачанного файла очень просто:

$ md5sum mysql-max-3.23.55-unknown-freebsd4.7-i386.tar.gz 9b543fbel2c2980c66d365ca68e819b0

Сравнив оба значения контрольных сумм, можно сделать вывод о подлинности файла. Проверка контрольной суммы должна войти в привычку при каждой установке программного обеспечения. По этой же причине никогда не стоит брать файл с первого попавшегося сервера. Лучше всего зайти либо на домашнюю страницу, либо на специальные сайты вроде http://rpmfind.net/ и http://www.freshports.org/.

С помощью контрольной суммы можно не только проверить устанавливаемые программы. Если злоумышленник проникнет в сеть, то первым его действием, скорее всего, будет установка или изменение некоторых программ. Например, он может заменить стандартную и довольно часто используемую программу ps на другую, с «трояном» внутри, а команда ls может не заметить созданных им каталогов.

Чтобы избежать этого и иметь инструмент, позволяющий проконтролировать целостность системных файлов, применяются утилиты, которые автоматически проверяют значения контрольных сумм файлов и каталогов и заносят их в свою базу данных. Впоследствии системный администратор может в автоматическом режиме сверить оригинальную, созданную при установке базу данных с имеющимися в системе файлами — и при расхождении контрольных сумм выдать предупреждение по электронной почте. Это позволит сразу же узнать о вторжении и оценить ущерб.

Следует отметить, что все эти средства не отменяют, а, скорее, дополняют другие методы защиты. Причем средства, контролирующие состояние файлов, имеют некоторое преимущество перед программами, выявляющими вторжение по наличию определенных сигнатур, хотя ничто не мешает использовать комплексный подход.

Наиболее популярное средство для решения этой задачи - утилита Tripwire. Она доступна как OpenSource (www.tripwire.org) и как 30-дневная ознакомительная версия (www.tripwire.com). Скачать ее вместе с документацией (tripwire-docs можно с http: //download.sourceforg..net /tripwire/.

По окончании установки необходимо выполнить первоначальную инициализацию базы данных. Но для того чтобы не пришлось делать это дважды, лучше сразу отредактировать файлы конфигурации и политик.

Для этого в каталоге /etc/tripwire FreeBSD/usr/local/etc/tripwire) имеются два шаблона в виде текстовых файлов. В файле twcfg.txt содержится информация о размещении файлов базы данных (ее конкретное содержание зависит от системы), а также используемый по умолчанию редактор, почтовый клиент и его параметры.

В файле twpol.txt содержится политика, состоящая из серии правил, за выполнением которых следит Tripwire, данные для объектов контроля, важность контролируемого объекта и для каждой группы контроля — адрес электронной почты (emailto=), на который высылается уведомление о нарушении. При необходимости можно указать сразу несколько адресов через запятую.

Здесь же желательно заменить TEMPDIRECTORY= /tmp на каталог с нормальными правами доступа (в /tmp для всех rwx). Во избежание несанкционированного изменения все важные файлы Tripwire хранятся на диске в закодированной и подписанной форме. Сама база данных, политики, конфигурация и иногда файл отчета защищены асимметричной криптографией El Gamal с 1024-разрядной сигнатурой. El Gamal использует шифрование с одним открытым и одним закрытым ключом. В криптографической системе Tripwire. Эта пара ключей хранится в двух файлах.

Файлы конфигурации и политики защищены от записи открытым ключом, а база данных и отчеты — локальным ключом. Для чтения достаточно открытого ключа, но для записи требуется закрытый ключ, защищенный паролем. Поэтому после их редактирования в соответствии с настройками системы необходимо запустить скрипт twinstall.sh, находящийся в этом же каталоге. После этого программа запросит фразы site и local (желательно, не менее 8-ми символов) для генерации соответствующих ключевых пар. Затем в каталоге образуются зашифрованные файлы конфигурации и пополитики tw.cfg и tw.pol, а также файлы ключей /etc/tripwire/site.key и /etc/tripwire/host-local.key. В целях безопасности рекомендуется по окончании инсталляции удалить файлы шаблонов из данного каталога.

Проведем начальную настройку и инициируем базу данных:

#/etc/tripwire/twinstall.sh  

#/usr/sbin/tripwire --init

После запроса локального пароля программа создает «отпечаток» важных системных файлов (размер, контрольная сумма, права, время доступа и т. п.) и записывает ее в файл

в каталоге /var/lib/tripwire/$(HOSTNAME).twd. При создании базы данных обратите внимание на сообщения об ошибках, например:

### Filename:   /bin/bash  ### No such file or directory ### Continuing...

### Warning:   File system error.

### Filename:   /bin/ash.static ### No such file or directory ### Continuing...

Это означает, что в конфигурационный файл занесена лишняя информация. Желательно тут же внести исправления — иначе эти сообщения в дальнейшем постоянно будут вас преследовать и перегружать лог-файл.

Полученная база данных ежедневно сравнивается с текущим состоянием файловой системы. При этом выдаются довольно подробные отчеты. Это позволяет обнаружить   добавленные, измененные и удаленные файлы. Такое расположение файла удобно при проверке согласованности  файловой системы с помощью демона cron, позволяющего полностью автоматизировать данный процесс, включая информирование по указанному электронному адресу о результатах проверки.

Но потенциальный злоумышленник, обнаружив присутствие утилиты, при получении определенных прав может заменить (обновить) базу данных или полностью переустановить Tripwire (что гораздо проще). После такой модификации утилита проверки не заметит подвоха — и вы будете получать по почте сообщения о том, что с системой все нормально, пока в один прекрасный день не обнаружите несовпадение парольных фраз. Такой вариант также предусмотрен разработчиками. Во избежание его необходимо поместить в дисковод отформатированную дискету и присвоить переменной TRIPWIRE_FLOPPY=YES значение с командой тaке install

$make  install  TRIPWIRE_FLOPPY= YES 

Или просто создать резервную базу данных:

$make floppy

В результате на дискету будет скопировано все, что необходимо для восстановления системы и автономной работы утилит: копия начальной базы данных системы, утилиты Tripwire, Twcheck и Gunzip и копия файлов настройки tripwire.

Конечно, все это может не поместиться на 1,44 Мб даже после архивирования. К сожалению, единственный выход в этом случае — уменьшить количество объектов базы данных. Как бы то ни было, на всякий случай желательно резервировать всю систему вместе с Tripwire и периодически сверять оригинальную и рабочую базы данных.

Для проверки системы запускается tripwire -- check. Можно явно указать имя файла создаваемого отчета:

$tripwire --checkr  имя_файла_отчета.twr

Tripwire сравнивает текущее состояние системы с сохраненным в базе данных и при несоответствии выдает сообщение. Программа замечает даже такие мелочи, как изменение времени модификации. Аналогично выполняет ежедневную проверку демон cron посредством /etc/cron.daily /tripwire-check.

Если вам недосуг ждать, пока система все проверит, можно указать опцию 

--email-report:

$tripwire --check --email-report

Тогда сообщение будет послано всем получателям, указанным в файле политики, в формате, определенном в EMAIL-REPORTLEVEL. Но перед началом эксплуатации желательно проверить работу электронной почты с помощью команды:

$tripwire --test --email user@domain.com

Если нужно проверить не всю систему, а только отдельные ее объекты, их можно сразу указать так:

$tripwire --check objectl object2 object3

Системные файлы разбиты по группам важности, что позволяет более гибко строить отчеты. Благодаря этому для сокращения отчета можно проигнорировать некритичные для системы. Для того чтобы проверить файлы, начиная со средней степени важности и выше, можно ввести такую команду:

#tripwire --check --severity 66

Или использовать поверку правил по имени, которые прописаны в файле tw.pol,--rule-name. Для проверки системных файлов используется команда:

#tripwire --check --rule-name  "File System and Disk Administraton Programs"

При необходимости частых проверок определенного типа замените длинные имена по умолчанию на более короткие.

Ключ --interactive позволяет изменить БД в диалоговом режиме. Можно также отредактировать форму изменения БД, в которой каждый заносимый файл отмечается крестиком в секции Object Summary, в текстовом редакторе, который запускается при помощи команды --visual <имя-peдактора> или прописывается в конфигурационном файле с помощью переменной EDITOR или переменных окружения VISUAL или EDITOR. Для такого редактирования БД нужно знать пароль.

В процессе работы некоторые утилиты обновляются или заменяются другими. Поэтому базу данных приходится обновлять с помощью опции --update. Для обновления всей системы используется команда:

$tripwireupdater имя_файла_отчета.twr

(обновление состоит в актуализации базы данных согласно состоянию, зафиксированному в файле отчета).

Если же нужно обновить только сведения об определенной программе, то:

$tripwire --update /usr/sbin/sshd

После всех проверок создается отчет. По умолчанию это файл /var/lib/tripwire/report/(HOSTNAME)-$(DATE).twr .

Сразу после создания он называется примерно так: localhost-20030327-071039.twr. Но при помощи команды

#tripwire --check --twrfile /var/lib/report/myreport.twr

можно задать другое имя, которое удобнее использовать в скриптах.

По умолчанию, при генерации отчетов используется REPORT-LEVEL = 3 (Concise Report), выводящий довольно подробную информацию, в том числе и об ожидаемых и наблюдаемых значениях. Этот режим можно изменить в файле tw.cfg. Tripwire позволяет гибко задавать параметры отчетов, зависимо от потребности в той или иной информации. Для этого по ходу работы изменяется report-level в пределах от 0 до 4:

#twprint --print-report --report-level 1 --twr-file /var/lib/report/report.twr

Если понадобится внести глобальные изменения, можно получить расшифрованную копию конфигурационного файла при помощи команды:

#twadmin -print-cfgfile > /etc/tripwire/twcfg.txt

После внесения и сохранения изменений зашифрованный файл создается командой:

#twadmin --create-cfgfile --site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt

По мере добавления новых файлов, которые вы желаете контролировать, а также по мере изменения уровня значимости и удаления старых файлов, изменения адресов электронной почты и засорения файла отчетов ложными сообщениями файл политик начинает нуждаться в изменениях. Прежде чем что-либо менять, нужно создать копию файла политик с помощью команды:

#twadmin --print-polfile > /etc/tripwire/twpol.txt

После внесения изменений модифицируем политики следующим образом:

#tripwire --update-policy /etc/tripwire/twpol.txt

Ключевые файлы site и lосаl образуются во время первого запуска, но иногда возникает необходимость в их полной замене. Пароль меняется только при смене ключей, поэтому, для того чтобы изменить его, надо предварительно дешифровать все файлы, сгенерировать новые ключи, а затем зашифровать файлы с новыми ключевыми данными.

Если при этом вы забудете пароль или удалите файлы с ключами, то все зашифрованные файлы: конфигурация, политики, база данных и отчеты — после шифрования станут недоступны. Лучшим выходом из такой ситуации представляется переустановка всей системы.

Кстати, отметим: шифрование не помешает хакеру, если тот получит определенные права, попросту удалить любой файл, включая саму базу данных Tripwire. Поэтому использование Tripwire не отменяет обязательного резервного копирования.

Узнать, какой ключ был использован (и был ли использован вообще) для шифрования файла, можно при помощи такой команды:

#twadmin  --examine  filel   file2

Шифрование отменяется (при этом запрашивается пароль, сам файл остается в двоичном формате) так:

#twadmin --remove-encryption filel  file2

Затем создаем новый ключ:

#twadmin   --generate-keys   --local-keyfile /etc/tripwire/localkey.key

или

#twadmin  --generate-keys  --site-keyfile /etc/tripwire/sitekey.key

и шифруем файл:

#twadmin   --encrypt --local-keyfile /etc/tripwire/
localkey.keyfilel  file2

или:

#twadmin --encrypt --site-keyfile /etc/tripwire/sitekey.key filel  file2

База данных хранится в закодированном двоичном формате. Для распечатки ее в виде текстового файла можно воспользоваться дополнительной утилитой, входящей в комплект Twprint. При использовании базы данных по умолчанию команда выглядит так:

#twprint --print-dbfile > db.txt

А для произвольной базы данных — так:

#twprint --print-dbfiledbfile otherfile.twd > db.txt
Аналогично поступаем в случае файла с отчетом:

#twprint --print-report --twrfile имя_файла_с_отчетом

В комплект пакета входит вспомогательная программа, вычисляющая контрольную сумму методами CRC-32, MD5, HAVAL и SHA в реализации Tripwire, что позволяет сравнить производительность различных методов.

При необходимости повторить установку Tripwire, удалите в каталоге /etc/tripwire все файлы, кроме twcfg.txt, twinstall.sh и twpol.txt, а также файлы базы данных (.twd) и отчетов (.twr) в каталогах /var/lib/tripwire и /var/lib/tripwire/report.

Конечно, Tripwire — далеко не панацея. Но использование этой утилиты существенно усложнит жизнь желающим покопаться в чужом компьютере. Она вовремя предупредит администратора о том, что происходит.

Форматы конфигурационных файлов

Конфигурационный файл настроек /etc/tripwire/tw.cfg (twcfg.txt) содержит пути к вспомогательным программам, адрес электронной почты и каталоги для размещения конфигурационных файлов Tripwire. Файл структурирован как список пар имя_переменной = значение. Все строки, которые начинаются с символа #, считаются комментариями.

К некоторым переменным можно обращаться как $(имя_переменной). Две переменные имеют стандартные значения, которые нельзя изменять. Это HOSTNAME (простое имя хоста) и DATE (представление времени в формате 20030427-111033). Обязательными переменными являются следующие:

  •  POLFILE = /etc/tripwire/tw.pol — имя файла политик;
  •  DBFILE =/var/lib/tripwire/$(HOSTNAME).twd — ими файла с базой данных;
  •  REPORTFILE = /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr  шаблон имен файлов с отчетами;
  •  SITEKEYFILE = /etc/tripwire/site.key — открытый ключ;
  •  LOCALKEYFILE = /etc/tripwire/$(HOSTNAME)-local.key закрытый ключ.

Помимо обязательных, есть и дополнительные переменные:

  •  EDITOR = /bin/vi — имя текстового редактора, используе мого в интерактивном режиме. Если таковой не определен, используется программа, указанная в системной переменной $VISUAL или $EDITOR;
  •  TEMPDIRECTORY =/tmp - каталог временных файлов;
  •  LATEPROMPTING = false — запрашивать пароль в последнюю очередь, чтобы он как можно меньше находился в системной памяти;
  •  SYSLOGREPORTING = true — выдавать на syslog уровни user и notice — сообщения о создании базы данных, проверках, изменениях базы данных и политик, с уровнем подробности 0;
  •  LOOSEDIRECTORYCHECKING = false — при значении true не выдает лишних сообщений об изменениях atime
  •  и mtime для каталогов, в которых был добавлен или удален контролируемый файл; эквивалентно добавлению snacmblCMSH для всех каталогов:
  •  REPORTLEVEL = 3 — уровень подробности отчета Twprint, используемый по умолчанию.

Параметры сообщения, отправляемого по электронной почте, определяются следующими переменными:

  •  GLOBALEMAIL = список_адресов — адресаты, указанные в списке, получают сообщения по умолчанию;
  •  MAILMETHOD = SMTP или SENDMAIL — используемый Tripwire протокол для передачи сообщений;
  •  SMTPHOST = имя_или_адрес — имя домена или IP-адрес сервера SMTP. Игнорируется, если предыдущая переменная не установлена в SMTP;
  •  SMTPPORT = 25 — номер порта, используемый с SMTP. Игнорируется, если MAILMETHOD — не SMTP;
  •  MAILPROGRAM - /usr/sbin/sendmail -oi -t — путь к почтовой программе. Если MAILMETHOD = SENDMAIL. то это может быть любая программа, удовлетворяющая RFC 822;
  •  EMAILREPORTLEVEL = 3 — уровень подробности отчета для почтовых извещений;
  •  MAILNOVIOLATIONS = false — не посылать письма, если не зафиксировано нарушений политик. При значении
    true в этом случае будут приходить сообщения об отсутствии нарушений. Полезно для контроля функционирования системы, но увеличивает количество писем.

Конфигурационный файл политик /etc/tnpwire/tw.pol (twpol.txt) состоит из серии правил, определяющих для каждого объекта, какой реквизит должен быть собран и сохранен в файле базы данных. Каждый объект в файле политик связан с маской свойства, которая определяет, что именно должна контролировать утилита Tripwire. Настраивая различные параметры файла политик, администратор системы может гибко определить способы проверки целостности системы с помощью Tripwire.

Основным компонентом файла политик являются правила (rules), в которых определяются проверяемые свойства для каждого объекта. Файлы, расположенные в дочерних каталогах, наследуют правила родительского каталога — при условии, что внутренние каталоги находятся на одном и том же дисковом устройстве. В противном случае правила определяются отдельно.

Как и в конфигурационном файле, в файле политик возможно использование комментариев и переменных. Кроме проверяемых объектов, могут дополнительно указываться игнорируемые, что позволяет исключить "лишние" файлы, например:

object name -> property mask   [attribute=value ...];

object name;

Пробелы в имени объекта игнорируются. Чтобы обойти это давило, имена с пробелами заключают в кавычки. То же касается и самих символов кавычек, а также остальных специальных символов, используемых в C++ в качестве управляющих. Это !{}>(),;=$# | \+ . Их заменяют на \n, \t, \v, \b, ' ' \f, \a, \\, \?, V, \, а также числа, заданные в восьмеричной и шестнадцатеричной форме, например /te\x73t2.

Проверяемые свойства задаются маской, где каждому свойству соответствует определенная буква. При отсутствии заданных свойств объект не проверяется. Если перед буквой стоит "минус", свойство игнорируется, если "плюс" - проверяется. Если знака перед буквой нет, подразумевается предыдущий заданном правиле знак или, при отсутствии знаков -"плюс".

Проверяются следующие свойства (формат [+-]*[pinugtsldbamcrCMSH]):   

  •  p - права доступа;
  •  i - inode;
  •  n — число жестких ссылок;
  •  u - uid;
  •  g - gid;
  •  t -тип файла;
  •  s - размер;
  •  l -считается, что файл будет расти; если он уменьшился, фиксируется нарушение (полезно для ведения журнала);
  •  d - номер устройства, на котором хранится соответствующий inode;
  •  b - число блоков;
  •  a - время доступа (несовместим с +CMSH, так как для вычисления суммы необходимо прочитать файл; доступ к содержимому директории меняет время последнего доступа к ней. Этого можно избежать при помощи recurse = false, LOOSEDIRECTORYCHECKING = true и правила );
  •  m — время последней модификации;
  •  с — время создания/модификации inode;
  •  r — номер устройства для файлов устройств;
  •  С — контрольная сумма по CRC-32, POSIX 1003.2 (самый быстрый, но наименее защищенный из представленных вариант);
  •  М — контрольная сумма по MD5 RSA Data Security;
  •  S — контрольная сумма по SHS/SHA-алгоритму;
  •  Н — контрольная сумма по HAVAL.

Рекомендуется использовать свойства С, М, S, Н для файлов парами - а не все четыре сразу, так как определение всех четырех существенно снизит производительность.

Атрибуты правил определяют поведение объектов и предоставляют дополнительную информацию о них. Атрибуты записываются в виде списка, каждый элемент которого имеет вид имя = значение и отделен от других элементов запятыми. Атрибуты могут применяться как к отдельному правилу, так и к группе правил. Атрибут для отдельного правила записывается так:

/usr/lib -> $(Readonly)   ( emailto = admin@foo.com );

Группа правил заключается в фигурные скобки. Список атрибутов для группы правил записывается в скобках перед ней:

(attribute = value)   {rulel;  rule2;   ...   }

Индивидуальные атрибуты имеют больший приоритет, чем групповые, за исключением атрибута emailto — в этом случае атрибут добавляется к предыдущим, например:

(emailto = adminl@foo.com,   severity = 90)   { /etc/dog-> +pingus   (severity = 75);   /etc/cat-> $(Dynamic)   (emailto = admin2@foo.com);   }

Могут использоваться следующие атрибуты:  

  •  rulename — простое имя файла, используемое по умолчанию в отчетах, для группировки правил, для проверки части правил. Рекомендуется выбирать короткое и понятное имя;
  •  emailto — адрес электронной почты, на который по умолча нию высылаются сообщения. Несколько адресов перечисляются через точку с запятой и заключаются в кавычки;
  •  severity — уровень серьезности правила (от 0 до 1000000, по умолчанию — 0}. Чем больше значение, тем серьезнее уровень. Проверка выполняется только для правил указанного уровня и выше. В командной строке могут использоваться ключи: highуровень 100, medium — уровень 66, low — уровень 33;
  •  recurse — рекурсивная проверка директорий. По умолчанию имеет значение true (-1), что соответствует  режиму полного просмотра. Возможно также значение false (0) или любое другое положительное число (максимальный уровень вложенности до 1000000).

Tripwire поддерживает небольшой набор preprocessor-подобных директив, которые группируют правила, обеспечивают условное выполнение, выполняют простейшую диагностику и отладку. Первичное назначение этого механизма состоит в обеспечении совместного использования файла политики несколькими машинами. Директивы имеют следующий синтаксис: @@directive [arguments]. При этом сама директива не может быть получена как значение переменной, но переменные могут использоваться в качестве параметров. Обрабатываются следующие директивы:

  •  @@section имя — предназначена, в основном, для работы с Windows NT. В Unix обрабатываются только правила в первой секции с именем FS: если секций нет, то обрабатываются все правила, интерпретирующиеся как правила UNIX. Поэтому файл политики, разработанный для Windows NT. может вызвать проблемы при использовании в UNIX. Глобальные переменные определяются в секции GLOBAL;
  •  @@ifhost имя_хоста {|| имя_хоста} — использовать пра
    вила только для указанного хоста (хостов}.
    Условия могут
    быть вложенными:
  •  @@else и @@endif — обработка условных выражений вместе с @@ifhost @@ifnost machine1 || machine2 /usr/bin ->+pinug; @@eise /usr/bin -> +pinugsmC; @@endif;
  •  @@print "строка в кавычках" — вывод на stdout;
  •  @@error "строка в кавычках" — вывод на stdout и завершение со статусом 1;
  •  @@end (весь последующий текст в файле игнорируется; не может использоваться внутри группы или условного блока).

В файле политики применяются два типа переменных. Область действия глобальных переменных распространяется на весь файл политики: область действия локальных переменных, определенных в разделе UNIX, ограничена только этим разделом. Если глобальная и локальная переменные имеют одинаковые имена, локальная переменная получает больший приоритет в своем разделе, временно маскируя глобальную переменную. Значение переменной присваивается командой имя_переменной = значение, подстановка значения осуществляется конструкцией $(variable). Существуют следующие предопределенные переменные:

  •  ReadOnly = +pinugsmtdbCM-ractSH (предполагается, что файлы доступны только для чтения);
  •  Dynamic = +pinugtd-rsacmblCMHS (предполагается частое изменение содержимого файлов, например /home, /var);
  •  Growing = +pinugtdl-rsacmbCMSH (предполагается, что файлы (например, журналы) будут только расти);
  •  IgnoreAll= -pinusgamctdrblCMSH (проверяется только наличие или отсутствие файла):
  •  IgnoreNone = +pinusgamctdrbCMSH -l (проверяются все свойства; переменная предназначена для конструирования собственной маски, например, $(IGnoreNone)- arдля предупреждения нарушения времени доступа);
  •  Device=+pugsdr-intlbamcCMSH (для устройств и файлов, которые нельзя открывать).

Уровни отчетов:

  •  Уровень 0. Отчет одной строкой. Появляется всегда в строке Subject сообщения электронной почты и имеет такой формат:
    TWReport имя-хоста дата-и-время V:число-нарушений S:макс-уровень А:добавлено R:удалено С:изменено TWReport LIGHTHOUSE 19991021134026 V:45 S:100 A:2 R:l C:6
  •  Уровень 1. Список имен измененных файлов в виде, легко разбираемом программой автоматического восстановления или подобной. Каждая строка состоит из ключевого слова (Added. Modified), двоеточия и имени файла:
    Added: /usr/bin/bash Modified:/usr/bin
  •  Уровень 2. Сводный отчет. Включает список нарушений с указанием правил, а также список добавленных, измененных и удаленных файлов. В разделе Object Summary содержится подробный список измененных файлов.
  •  Уровень 3. Сводный отчет. Включает список нарушений с указанием правил, а также список добавленных и удаленных файлов, ожидаемые и реальные свойства измененных файлов и дополнительные подробности.
  •  Уровень 4. Максимально подробный сводный отчет, содержащий список нарушений с указанием правил, список добавленных, измененных и удаленных файлов, подробный отчет по каждому добавленному (все свойства), каждому измененному (все проверяемые, ожидаемые и реальные свойства) и каждому удаленному файлу (все проверяемые и ожидаемые свойства). Отличающиеся параметры помечаются звездочкой в начале строки.

Задание по лабораторной работе:

  1.  Установите tripwire (twinstall.sh) и инициируйте базу данных.
  2.  Перезагрузите систему. Какие файлы при этом изменятся. Проверьте изменения, зафиксированные tripwire и сохраните файл отчета.
  3.  Обновите базу tripwire.
  4.  Убедитесь, что база соответствует текущему состоянию файловой системы (осуществите проверку файловой системы и сравните с результатами предыдущей проверки).


 

А также другие работы, которые могут Вас заинтересовать

49072. Использование нейронных сетей при прогнозе стоимости подержанных автомобилей 553 KB
  Нейронные сети неожиданно открыли возможности использования вычислений в сферах до этого относящихся лишь к области человеческого интеллекта возможности создания машин способность которых учиться и запоминать удивительным образом напоминает мыслительные процессы человека [9]. Своей популярностью искусственные нейронные сети ИНС обязаны уникальному свойству заложенных в них идей: они способны обучаться на множестве примеров впоследствии узнавая в потоке информации черты ранее встреченных образов и ситуаций. По своей природе...
49073. Использование аппарата нейронных сетей для оценки риска банкротства предприятия 238 KB
  Нейронные сети и их преимущества для решения задачи оценки рисков Пример разработки модели нейронной сети для анализа риска наступления банкротства предприятия Модель нейронной сети для предсказания финансовой несостоятельности организации. Нейронные сети и их преимущества для решения задачи оценки рисков На практике при анализе рисков часто встречаются задачи связанные с наблюдением случайных величин. При этом сама зависимость будет выведена...
49074. Применение нейронных сетей для принятия решений 288.5 KB
  Существует множество областей применения искусственного интеллекта: принятие решений доказательства теорем игры творчество распознавание образов обработка данных на естественном языке обучающиеся сети нейросети и т. Мой выбор обусловлен стремлением узнать эффективно ли использовать нейросети при принятии решений об освобождении от оплаты за обучение учащихся детских школ искусств. Цель данной курсовой работы заключается в том чтобы показать...
49075. Крупные детали (коленчатые валы, муфты, промежуточные валы и др. детали должны иметь повышенную твёрдость 260-300 НВ) 242 KB
  Конструкционные стали Улучшаемые стали. Конструкционные стали применяемые для изготовления валов Термическая обработка сталей. Выбор термической обработки стали марки 40ХНМА.
49076. Расчет термической обработки стали марки 5ХНМ 275.5 KB
  Если обрабатывается мягкий материал (дерево, пластмассы, цветные металлы) или при обработке стали и чугуна применяются малые скорости резания и стружка имеет малое сечение, то в единицу времени на процесс резания затрачивается мало энергии. Если обработка происходит при больших скоростях резания, обрабатываются твердые металлы и стружка имеет большое сечение
49077. ИССЛЕДОВАНИЕ ОРГАНА КОНТРОЛЯ ПОГАСАНИЯ ДУГИ 136.5 KB
  Исследуемая модель линии При угле передачи 0 и переходном сопротивлении Rпер=30 Ом напряжение на зажимах реактора относительно земли в фазе А где первый график модуль напряжения а второй угол. Используя значения напряжения после t=0.02 с изменяя место короткого замыкания а также значение угла передачи можно получить зависимости: Рисунок 2 Зависимость напряжения на реакторе от места повреждения при угле передачи 30 Рисунок 3 Зависимость напряжения на реакторе от места повреждения при...
49080. ДАТЧИК ВЛАЖНОСТИ 248.5 KB
  Описание физической величины Описание и выбор метода измерения влажности Метод высушивания Дистилляционный метод Экстракционные методы Химический метод Метод СВЧ-влагометрии Нейтронный метод Инфракрасные влагомеры Кондуктометрические датчики Выбор метода Выбор и описание датчика Влагомер ВП4 Влагомер для порошкообразных материалов Датчик влажности для формовочной смеси Датчик влажности для зерна Автоматическая...