Tripwire Nedir?

 

Tripwire, çeşitli sistemlerde belirli dosya değişikliklerini izlemek ve bunlarla ilgili uyarılar vermek için ücretsiz bir güvenlik ve veri bütünlüğü aracıdır. Proje, 2000 yılında Tripwire Inc. tarafından sağlanan koda dayanmaktadır(kaynak: wikipedia).

Tripwire da OSSEC gibi bir Dosya bütünlüğü denetleyicisidir, dosya ve dizin değişikliklerini izleyip, uyarı yapmak amacı güden bir dosya bütünlüğü aracıdır.

Tripwire Nasıl Çalışır?

Yukarıda ki görsellerde de görebileceğiniz üzere Tripwire'ın algoritması normal bir dosya bütünlüğü aracıyla aynıdır. Aşağıda 'OSSEC Nedir?' isimli yazımdan bir kesit bırakıyorum.

Alıntı:

Sistem bütünlüğündeki değişiklikleri algılar ve izinsiz girişleri bildirir. Sistemde ve kayıt defterinde bulunan anahtar dosyaların MD5 değerleri belirli zamanlarda taranır ve Tripwire sunucuya depolanması için gönderilir. Checksum değerlerinde değişiklik olup olmadığı kontrol edilerek dosya bütünlük kontrolü sağlanmış olur.

Yukarıda ki alıntı Tripwire için aynen geçerlidir.

Aslında Tripwire'ın yaptığı işi yapan birden çok açık kaynak kodlu uygulama mevcuttur. Örnek vermek gerekirse ; OSSEC, Suricata, Samhain vb.
Bunlar ve bunlar gibi dosya bütünlüğü uygulamalarının temelde yaptıkları şey şudur : Herhangi bir dizinde(örneğin /etc dizini) değişiklik yapılırsa bana rapor ver. Dosya bütünlüğü uygulamaları dizinin altındaki dosyaların hash'ini alır ve checksum değerini hesaplar, dizinde yapılacak herhangi bir değişiklik checksum değerini değiştireceğinden uygulamalar dizini kendi veritabanlarında ki eşleştirir ve değişen dosyaları rapor eder.