Tripwire. Контроль файлов в системе.

В случае, когда ставится задача мониторинга изменения важных файлов в системе, стоит обратить внимание на утилиту tripwire, которая с этой задачей отлично справляется. В ходе первой инициализации, tripwire сканирует файловую систему, занося в свою базу информацию о тех файлах, контроль над которыми указан в политиках. В дальнейшем, всегда можно выполнить проверку и получить информацию о произошедших изменениях. Для проверки целостности используются хеш-суммы. Ключи программы, которые генерируются перед её использованием отдельно защищаются паролем.

Для установки tripwire в CentOS, необходимо подключить репозиторий EPEL.

# yum install epel-release
# yum install tripwire

После установки, генерируем ключи:

# tripwire-setup-keyfiles

Проводим инициализацию, в ходе которой создаётся первый снимок файлов:

# tripwire --init

Теперь мы можем открыть файл с политиками — /etc/tripwire/twcfg.txt и при необходимости добавить что-то своё, либо отключить мониторинг какого-то файла, просто закомментировав его. Если мы внесём какие-либо изменения в системные файлы и директории, или установим что-то в систему, запущенная повторно проверка оповестит об этом:

# tripwire --check --interactive

Все отчёты сохраняются в директории /var/lib/tripwire/report/, их можно просмотреть командой:

# twprint --print-report --twrfile /var/lib/tripwire/report/test-20170618-181714.twr

Для автоматизации проверок можно соответствующим образом настроить задание в планировщике, например:

30 3 * * * /usr/sbin/tripwire --check | mail -s "Tripwire report for hostname " alert@sysadmin.pm

Кроме того, отправку отчётов на почту можно настроить в файле политик twcfg.txt. Для каждого набора правил, после строки с «severity =» необходимо прописать «emailto =» и указать почту для уведомлений.

(
rulename = "Kernel Administration Programs",
severity = $(SIG_HI)
emailto = alert@sysadmin.pm
)

Теперь остаётся только настроить политики нужным образом и следить за отчётами от tripwire, при необходимости реагируя на них.

@SysadminNotes | https://sysadmin.pm

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *