作者：studyboy
email: studyboy@21cn.com
日期：2001-7-25 10:22:47
Logcheck 

    Logcheck是用來自動檢查系統安全入侵事件和非正常活動記錄的工具，它分析各種Linux log文件，象/var/log/messages, /var/log/secure,/var/log/maillog等等，然后生成一個可能有安全問題的問題報告自動發送email給管理員。你能設置它基于每小時,或者每天用crond來自動運行。

    logcheck工具的主頁在http://www.psionic.com/abacus/logcheck/

    下載后用tar xvfz logcheck*解開到一臨時目錄如/tmp下，然后用./make linux自動生成相應的文件到/usr/local/etc,/usr/local/bin/等目錄下，你可能更改設置如發送通知能誰的郵件帳號，默認發送到root，你能設置root的郵件別名帳號到一批人，更改設置讓其忽略某些類型的消息如你的郵件記錄文件中的plug-gw，因為plug-gw做反向IP查找，若找不到則記錄一個警告消息到/var/log/maillog，logcheck默認記錄下所有這些警告發送給你，你可以通過設置忽略掉它們。

    利用logcheck工具分析你的所有logfile，避免了你每天經常手動地檢查它們，節省了時間，提高了效率。

  Tripwire

    Tripwire 是一個用來檢驗文件完整性的非常有用的工具，你能定義哪些文件/目錄需要被檢驗，不過默認設置能滿足大多數的要求，它運行在四種模下：數據庫生成模式，數據庫更新模式，文件完整性檢查，互動式數據庫更新。當初始化數據庫生成的時候，它生成對現有文件的各種信息的數據庫文件，萬一以后你的系統文件或者各種配置文件被意外地改變，替換，刪除，它將每天基于原始的數據庫對現有文件進行比較發現哪些文件被更改，你能根據email的結果判斷是否有系統入侵等意外事件。

    Tripwire的主頁在 http://www.tripwiresecurity.com , tripwire-1.2.3的版本你能免費使用. 如果你使用Redhat Linux 6.1，你也能得到最新的為6.1重建的Tripwire-1.2.3

    （http://rufus.w3.org/linux/RPM/powertools/6.1/i386/tripwire-1.2-3.i386.html）

    當你手動更改了系統中的配置文件或程序時，你能手動再次生成一次數據庫文件，運行 tripwire -initialize 在當前目錄下創建databases目錄并在該目錄下生成新的系統數據庫文件，然后cp到/var/spool/tripwire目錄中覆蓋舊的。