Tag Archives: Tripwire

SAMHAIN –支持 AIX 的文件完整性校验系统

文件完整性校验是安全审计必不可少的一个流程。在不同操作系统的数据库服务器上部署 Tripwire 这样的工具是个麻烦事情(前提是使用非商业软件)。在 Linux 服务器上,我以前测试过 integrit ,参见 integrit – Tripwire 的替代品 。如果操作系统是 AIX , 那么 Samhain 可以作为一个替代方案。

在 AIX 5.3 上编译安装后,提示信息值得看看:

 samhain has been configured as follows:
System binaries: /usr/local/sbin
Configuration file: /etc/samhainrc
Manual pages: /usr/local/man
Data: /var/lib/samhain
PID file: /var/run/samhain.pid
Log file: /var/log/samhain_log
Base key: 812826721,276349012

You can use 'samhain-install.sh uninstall' for uninstalling
i.e. you might consider saving that script for future use

Use 'make install-boot' if you want samhain to start on system boot

make install-boot 可以作为启动 daemon 安装.

/etc/samhainrc 是配置文件,可以参考 Samhain 文档 进行配置。之后即可 运行 /usr/local/sbin/samhain -t init -p info 进行数据库初始化。-p 这个参数后面可以跟 warning, cri(critical) 等参数,打印不同级别的信息。Samhain 这个工具唯一让我感觉不好的地方就是文档说明比较晦涩。配置选项什么都还可以,命令行解释连个例子也不给,还需要摸索半天。

命令行说明:
samhain -t check #检查数据库
samhain -t update #更新数据库 -p info 可以看到相关信息

注意配置 /etc/samhainrc 的时候,默认可能是设定了程序作为 Daemon 启动,最好修改一下,否则运行几次,后台一堆 samhain daemon 在跑。

初始化--> 更新 --> 检查--> 列出变更信息

这应该是类似工具的统一使用思路。只是实现细节上略有差异。

现在在这一堆类似的软件中,号称支持 AIX 的就有 Tripwire 开源版本AIDE 等,但是安装编译几乎很难顺利的通过,网上也很少能够找到相关支持信息。对于这几个软件之间的差异,可以参考 Samhain 上的比较表格(注意有的信息可能比较旧了)

EOF

integrit – Tripwire 的替代品

文件系统完整性检查是安全中的重要一环。类 Unix 操作系统环境下文件系统完整性检查工具最负盛名的要数 Tripwire 了。 虽然 Tripwire 虽然很早就商业化了,但并不是独一份, AIDE 是一个不那么好用的可选的替代品,而 integrit 则是另外一个 Tripwire 的替代工具。尝试用了一下,觉得如下几个特点不错:

  • 安装、配置、使用都简单便捷
  • 占用资源较少,
  • 使用最新的加密算法

从 integrit 站点下载文件后,解压.

# ./configure && make && make install 

首先需要创建一个配置文件:

# cat /opt/oracle/software/integrit.conf
current=/opt/oracle/software/integrit.cdb
known=/opt/oracle/software/integritKnown.cdb
root=/opt/oracle/oradata

第一行设定当前的加密资料库. 第二行指的已知的加密资料库(使用的是 cdb)。第三行代表需要检查的系统目录。最基本配置的只需要这三行就可以了。

继续阅读