سیستم فایل یکی از حیاتی ترین و حساس ترین بخشهای یک سیستم عامل محسوب می شود.طیف وسیعی از تهدیدات و خطرات اینترنتی در شبکه های کامپیوتری بر بستر سیستم فایل کامپیوتر مورد هدف طراحی و پیاده سازی می شوند. ویروسها کرم ها نرم افزارهای جاسوسی Spyware نرم افزارهای تروجان Backdoor و Rootkit و بسیاری دیگر از حملات مخرب برعلیه شبکه ها سرورها و برنامه های کاربری وب بر مبنای ضعف و عدم امنیت و کنترل فایلهای سیستم صورت می گیرد. سیاست ها و راه کارهای متنوعی برای امنیت سیستم فایل و حفاظت از فایلها و نقاط امنیتی یک سیستم کام یوتری وجود دارد که از جمله آنها می توان از نرم افزارهای گزارش گیری و کنترل سیستم فایل نام برد.
● Tripwire چیست ؟ Tripwire یک ابزار امنیتی برای گزارش گیری از سیستم فایل و اطمینان از صحت فایل ها برروی سیستم است. Tripwire به شما می گوید در ساختار فایلها و خصوصیات و دسترسی های آنها از یک زمان تا زمانی دیگر چه تغییراتی صورت گرفته است. برای کدام فایل یک دسترسی غیر مجاز صورت گرفته است و کدام برنامه توسط کدام کاربر و در چه زمانی اجرا شده و یا لیست لوگین های یک کاربر را به شما نشان می دهد. با Tripwire می توان فهمید به رجیستری و بلوک های سیستم فایل کدام داده یا فایل اضافه یا حذف شده است و نسبت به تاریخ گذشته دقیقا چه تغییراتی صورت پذیرفته است.Tripwire در لینوکس خصوصیات زیر را مانیتور می کند : ▪ اضافه حذف و تغییر فایل ▪ ردگیری هر شی ▪ ردگیری مجوز فایل و خصوصیات هر فایل ▪ شماره Inode و link ▪ ACL ▪ UID و GUID ▪ اندازه و نوع فایل ▪ شماره شناسایی هر device ▪ شماره هر مجموعه بلوک سیستم فایل ▪ تمامی عملیاتهای مرتبط با timestamp ▪ تمامی فلگهای سیستم فایل ● Tripwire چگونه کار می کند؟ برنامه از یک بانک اطلاعاتی داده ای سیستم استفاده می کند. پس از نصب و پیکربندی TripWire با گرفتن یک تصویر لحظه ای از ساختار سیستم فایل که شامل بانک اطلاعات هر فایل همراه خصوصیات آنها حساب های کاربری و داده های بحرانی سیستم یک فایل بانک اطلاعاتی یا در اصطلاح baseline می سازد. هر زمان که نیاز به چک کردن واطمینان از صحت فایلها و دسترسی ها وجود داشته باشد برنامه اطلاعاتbaseline را با اطلاعات کنونی سیستم چک می کند و هر گونه تغییر و یا عملیات غیر مجاز را در یک فایل گزارش ثبت می کند. این فایل گزارش توسط مدیر سیستم قابل دریافت و بازبینی است. می توان فایل گزارش را از طریق ایمیل و با فرمت های گوناگونی مانندHTML یا XML دریافت کرد.آنچه که مهم است نیاز به بروزرسانی فایل بانک اطلاعاتی برنامه برای بدست آوردن یک گزارش صحیح و دقیق از سیستم است . Tripwire از چهار فایل حیاتی برای کار خود استفاده می کند: ● فایل سیاست گذاری (etc/tripwire/tw.pol/): مجموعه قوانین و عملیاتهای برنامه تعریف فایلها و دایرکتوری های امنیتی و سیاست های گزارشگیری از سیستم توسط مدیر سیستم در این فایل تعریف و تنظیم می شوند. از طریق این فایل می توان سیاستهای امنیتی برای صحت و چک سیستم به برنامه اعمال کرد. ● فایل پیکربندی ( etc/tripwire/tw.cfg/) : این فایل حاوی اطلاعاتی در مورد نحوه پیکربندی خود برنامه و مکان فایلها و نحوه ارتباط با دیگر برنامه ها برای عملیاتهایی مانند ارسال ایمیل و یا ذخیره فایل گزارش برروی سیستم است. این فایل نیز توسط مدیرسیستم قابل مشاهده و تنظیم است. ● فایل بانک اطلاعاتی (var/lib/tripwire/$(HOSTNAME).twd/): برنامه Tripwire در هنگام چک کردن و گزارشگیری سیستم از اطلاعات این فایل استفاده می کند . در حقیقت این فایل مبنای کار برنامه است که همیشه باید بروزترین و صحیح ترین اطلاعات را از وضعیت سیستم در خود داشته باشد . ● فایل گزارش ( var/lib/tripwire/$(HOSTNAME)-$(DATE).tar/ ): نتیجه مقایسه فایل بانک اطلاعاتی با سیستم فایل و اطلاعات و وضعیت کنونی سیستم از طریق این فایل قابل رویت است. اطلاعات این فایل شامل تمام موارد امنیتی و تغییرات سیستم است که در فایل Policy تعریف و تنظیم شده اند. این فایل را با فرمت های گوناگون و از طریق ابزاری مانند ایمیل هم میتوان ازسیستم راه دور دریافت کرد. دو فایل سیاست گذاری و پیکربندی دارای دو فرمت متنی و رمزشده هستند. پس از هر تغییر در این فایلها با حذف کپی متنی فایلها رمز می شوند. ● نتیجه گیری : Tripwire یک ابزار امنیتی قابل استفاده در لینوکس برای اطمینان از صحت فایلها و داده ها و گزارشگیری از تغییرات سیستم فایل و وضعیت کامپیوترها است. این برنامه با دریافت اطلاعات صحیحی از سیستم در هر زمان اقدام به تست و چک کردن سیستم می نماید و تغییرات را در یک فایل به مدیر سیستم گزارش می دهد. در شماره بعدی چگونگی نصب و استفاده از این ابزار را بررسی خواهیم کرد. نشریه لینوکس ایران |
