簡介
Tripwire當Tripwire運行在資料庫生成模式時,會根據管理員設定的一個配置檔案對指定要監控的檔案進行讀取,對每個檔案生成相應數字簽名,並將這些結果保存在自己的資料庫中,在預設狀態下,MD5和SNCFRN(Xerox的安全哈希函式)加密手段被結合用來生成檔案的數字簽名。除此以外,管理員還可使用 MD4,CRC32,SHA等哈希函式,但實際上,使用上述兩種哈希函式的可靠性已相當高了,而且結合MD5和sncfrn兩種算法(尤其是 sncfrn)對系統資源的耗費已較大,所以在使用時可根據檔案的重要性做取捨。當懷疑係統被入侵時,可由Tripwire根據先前生成的,資料庫檔案來做一次數字簽名的對照,如果檔案被替換,則與Tripwire資料庫內相應數字簽名不匹配,這時Tripwire會報告相應檔案被更動,管理員就明白系統不"乾淨"了。
注意事項
有一點要注意,上述保障機制的重點在於資料庫內的數字簽名,如果資料庫是不可靠的,則一切工作都喪失意義。所以在Tripwire生成資料庫後,這個庫檔案的安全極為重要。比較常見的做法是將資料庫檔案, Tripwire二進制檔案,配置檔案單獨保留到"可拿走並鎖起來"的質上,如軟碟,將上述檔案複製到軟碟後,關閉防寫口,鎖到保險柜中。除軟碟外,一次性介質,如cd-r也是很好的選擇,這樣即使侵入者拿到盤也無計可施。除這種辦法外,利用PGP等加密工具對上述關鍵檔案進行數字簽名也是一個很好的選擇。
當然,當管理員自身對某些檔案更動時, Tripwire的資料庫必然是需要隨之更新的, Tripwire考慮到了這一點,它有四種工作模式:資料庫生成,完整性檢查,資料庫更新。互動更新。當管理員更動檔案後,可運行資料庫更新模式來產生新的資料庫檔案。
