之前研究過安裝和配置 Tripwire 來捕獲可能對系統進行更改的入侵者。今天,本教程 WordPress 站羣美國站羣服務器商將展示如何設定 Tripwire 來定期掃描系統,並在發生更改時向管理員傳送通知。
使用 mail 命令傳送 Tripwire 檢查的結果,該檢查是與前面的 mailutils 包一起安裝的。這個命令將允許通過管道將命令的輸出傳送給它,並將其作為電子郵件的主體傳送出去。以下是示例:
sudo Tripwire –check | mail -s “Tripwire test email” address@example.com
首先,先解釋以上命令,以上命令會執行以前看到的 Tripwire 檢查。然後,該命令的輸出通過管道傳輸到 mail 命令。-s 標誌指定應使用以下字串作為電子郵件的主題,然後該行以電子郵件要傳送到的電子郵件地址結束,可以根據自己的需求定製主題,並將電子郵件地址更改為希望從 Tripwire 接收報告的地址。
進行了更改並執行了該命令之後,將需要檢查郵箱中的電子郵件,這封郵件可能會被髮送到垃圾郵件資料夾,所以如果在收件箱裏看不到這封郵件,就需要進行檢查。如果電子郵件沒有傳送,那麼需要使用/var/log/mail.log 檔案開始除錯,或者檢查 WooCommerce 獨立站羣服務器上根使用者的電子郵件是否有跳轉訊息。成功接收電子郵件後,現在可以配置 cron 任務來執行檢查,根據習慣或擔心程度,可以隨時檢查。本例中,將配置 Tripwire 在每天凌晨一點執行檢查。首先,需要編輯 cron 表:
sudo crontab -e
在檔案開啓時,將下面的行新增到末尾,並對前面所做的 Tripwire 命令進行調整:
0 1 * * * /usr/sbin/Tripwire –check | /usr/bin/mail -s “Tripwire test email” address@example.com
注意,現在不需要 sudo 命令,正在為命令指定準確的路徑名。隨著命令列就位,可以儲存並退出,這將提示 Tripwire 執行夜間檢查。管理員應該能夠每天早上檢查電子郵件的變化,如果沒有收到電子郵件,這表明 cron 表可能被篡改了。最後需要注意的是,如果更改了觸發 Tripwire 的內容,那麼應該怎麼做。在本例中,可以使用–interactive 標誌執行 Tripwire 檢查:
sudo Tripwire –check –interactive
這將把檢查的輸出放入預設的文字編輯器,並在頂部附近增加一些命令列。這些行將以方括號 “[x]” 中的 x 作為字首。對於 Tripwire 執行新增、修改和刪除檔案的每個檢查,都將顯示在頂部。儲存並退出該檔案將導致 Tripwire 預設為所有標記為 x 的檔案都是打算進行的更改,並且不再需要為這些更改發出警報。管理員需要檢查它發出警報的所有檔案,並確保同意接受更改。對於不滿意的檔案,可以刪除 x,保留空方括號 “[]” 。儲存並退出檔案時,未標記為 x 的檔案仍將被 Tripwire 標記為警報。系統將提示輸入本地密碼,以便 Tripwire 將這些更改更新到其資料庫。
此時,Tripwire 已經設定完畢,現在管理員應該知道 WooCommerce 獨立站羣服務器上是否有任何更改。請注意,這裏只涵蓋了在前面介紹過的基本策略配置中定義的設定,為了保護站羣服務器中所有需要保護的元素(例如網站),管理員需要建立自己的策略規則來監控這些元素。
