之前研究过安装和配置 Tripwire 来捕获可能对系统进行更改的入侵者。今天,本教程 WordPress 站群美国站群服务器商将展示如何设定 Tripwire 来定期扫描系统,并在发生更改时向管理员传送通知。
使用 mail 命令传送 Tripwire 检查的结果,该检查是与前面的 mailutils 包一起安装的。这个命令将允许通过管道将命令的输出传送给它,并将其作为电子邮件的主体传送出去。以下是示例:
sudo Tripwire –check | mail -s “Tripwire test email” address@example.com
首先,先解释以上命令,以上命令会执行以前看到的 Tripwire 检查。然后,该命令的输出通过管道传输到 mail 命令。-s 标志指定应使用以下字串作为电子邮件的主题,然后该行以电子邮件要传送到的电子邮件地址结束,可以根据自己的需求定制主题,并将电子邮件地址更改为希望从 Tripwire 接收报告的地址。
进行了更改并执行了该命令之后,将需要检查邮箱中的电子邮件,这封邮件可能会被发送到垃圾邮件资料夹,所以如果在收件箱里看不到这封邮件,就需要进行检查。如果电子邮件没有传送,那么需要使用/var/log/mail.log 档案开始除错,或者检查 WooCommerce 独立站群服务器上根使用者的电子邮件是否有跳转讯息。成功接收电子邮件后,现在可以配置 cron 任务来执行检查,根据习惯或担心程度,可以随时检查。本例中,将配置 Tripwire 在每天凌晨一点执行检查。首先,需要编辑 cron 表:
sudo crontab -e
在档案开启时,将下面的行新增到末尾,并对前面所做的 Tripwire 命令进行调整:
0 1 * * * /usr/sbin/Tripwire –check | /usr/bin/mail -s “Tripwire test email” address@example.com
注意,现在不需要 sudo 命令,正在为命令指定准确的路径名。随著命令列就位,可以储存并退出,这将提示 Tripwire 执行夜间检查。管理员应该能够每天早上检查电子邮件的变化,如果没有收到电子邮件,这表明 cron 表可能被篡改了。最后需要注意的是,如果更改了触发 Tripwire 的内容,那么应该怎么做。在本例中,可以使用–interactive 标志执行 Tripwire 检查:
sudo Tripwire –check –interactive
这将把检查的输出放入预设的文字编辑器,并在顶部附近增加一些命令列。这些行将以方括号 “[x]” 中的 x 作为字首。对于 Tripwire 执行新增、修改和删除档案的每个检查,都将显示在顶部。储存并退出该档案将导致 Tripwire 预设为所有标记为 x 的档案都是打算进行的更改,并且不再需要为这些更改发出警报。管理员需要检查它发出警报的所有档案,并确保同意接受更改。对于不满意的档案,可以删除 x,保留空方括号 “[]” 。储存并退出档案时,未标记为 x 的档案仍将被 Tripwire 标记为警报。系统将提示输入本地密码,以便 Tripwire 将这些更改更新到其资料库。
此时,Tripwire 已经设定完毕,现在管理员应该知道 WooCommerce 独立站群服务器上是否有任何更改。请注意,这里只涵盖了在前面介绍过的基本策略配置中定义的设定,为了保护站群服务器中所有需要保护的元素(例如网站),管理员需要建立自己的策略规则来监控这些元素。
