Tiger使用手册

Tiger

0x00 Tiger简介

一款开源的安全审计&入侵检测工具

我们的小老虎是一款可以用于安全审计和入侵检测系统的安全工具。它支持多种UNIX平台,且他是开源的。小老虎完全使用脚本语言来编写,且只需要POSIX工具来进行相关审计检测操作。

特点

  1. 易于扩展的模块化设计
  2. 多用途,可以用于审计和主机入侵检测

优点

从目前来说,市面上有很多入侵检测工具,主要检测的方面如下

  1. 网络层IDS,例如Snort
  2. 内核层IDS,例如LIDSSNARESystrace
  3. 文件完整性检查,例如aide, integrit samhain, tripwire
  4. 日志检查,如Log Analysis

但是很少有完全关注主机端入侵检测的工具,小老虎将这些个工具结合在一起,并形成了一个能使他们在一起工作的框架。小老虎不是一个日志检查器也不关注完整性分析,它做其他的事,它会检查系统的配置和状态,也可以检查哪一台网络服务器正在尝试运行一个已经删除的文件(例如服务器在升级过程中修补了库,但是服务器未重新启动服务,导致服务器只能持续尝试运行因为升级而已经删除的系统文件)等,这对系统管理员和安全管理员来说是一个很有帮助的安全监测工具。

0x01 Tiger安装方法

要下载tiger的源码可以通过Savannah页面来获得,而Debian系统的安装包可以通过Debian Tiger页面来获得,通过寻找特定的平台来找到对应你系统架构的deb安装包。双击安装即可。

当前Tiger的稳定版本是3.2.3

0x02 命令选项

tiger [-vthqGSH] \
        [-B dir] \
        [-l dir|@host] \
        [-w dir] \
        [-b dir] \
        [-e|-E] \
        [-c config] \
        [-A arch] \
        [-O os] \
        [-R release]

描述

Tiger是一款由shell脚本,C代码和用于检查UNIX系统安全问题的数据文件构成的包,它能够扫描系统配置文件,文件系统以及用户配置文件,用以查明可能存在的安全问题,并将他们上报。指令tigexp可以解释tiger上报的问题。

我们可以通过调整@tiger-config-dir@/tigerrc配置文件中的Tiger_变量来配置小老虎。对于可以用的模块,我们的配置文件里有响应的变量来决定是否启用该模块。在配置文件里用Tiger_check_打头来命名变量,当变量值为Y时代表启用,N代表跳过。其他配置变量会修改某些模块的行为,应基于OS来调整。

@tiger-config-dir@/tiger.ignore配置文件定义了一系列消息,如果任何模块生成了这些消息之后呢将不会在report上显示。如果存在该文件,每行都是一个实体,一个实体用ERE正则表达式来比对消息。

选项

  • -B tigerdir
    • 指定tiger的安装目录,默认是/usr/lib/tiger(Ubuntu版本)
  • -l logdir|@logserver
    • 指定tiger生成安全报告的目录名,默认是/var/log/tiger(Ubuntu版本),格式是security.report.hostname.date.time。如果该变量是@打头,那么变量将被识别为日志服务器,远程日志服务器需开放tcp 5353端口,tiger会将报告通过telnet发送给服务器。
  • -w workdir
    • 指定用于创建临时文件的目录,默认是/var/lib/tiger/work(Ubuntu版本)
  • -b bindir
    • 用于指定C模块产生的二进制可执行文件所在的目录。若系统目录中包含所有的二进制文件,这些文件将从该系统目录直接使用;若没包含全,且bindir里包含二进制文件,这些二进制文件将被采用。若系统目录和bindir里都没有二进制文件,小老虎将会尝试编译C程序并将二进制放到bindir中。
  • -c tigerrc
    • 指定tigerrc控制文件的名字,默认是/etc/tiger/tigerrc(Ubuntu版本)
  • -e
    • 该选项将会在安全报告的每条消息后面插入解释语句,这会大大增加报告大小,因为某些解释语句是重复的。
  • -E
    • 该选项将会让小老虎生成一份独立的解释报告,其中每种消息的解释只出现一次。解释文件命名格式为explain.report.hostname.date.time
  • -G
    • 生成系统二进制文件的签名,包括MD5值和文件权限。
  • -H
    • 将报告以HTML的方式生成
  • -S
    • 需要同时对由该机器服务的无磁盘客户端的配置文件进行表层检查。检查不会太深入,因为深入的检查由客户机自己完成。
  • -q
    • 静默扫描,仅仅显示紧要的安全信息
  • -A arch
    • 该选项会覆盖由内部配置引擎获取的当前架构信息
  • -O os
    • 该选项会覆盖由内部配置引擎获取的当前操作系统信息
  • -R release
    • 该选项会覆盖由内部配置引擎获取的当前操作系统版本信息

            注意随便修改架构,操作系统和版本信息会出现难以意料的错误,慎!
      

模块

小老虎由一系列模块组成。每个模块检查特定的安全问题。小老虎框架允许同时提供通用模块和专用模块。这些模块可以通过计划任务独立执行,也可以通过tiger执行。

当然我们也可以自定义模块,想自己写,看看README.writemodules

现在小老虎有这些模块。

模块名 用途
check_accounts 检查系统账户,查找禁用的cron rhosts .forward valid_shell账户
check_aliases 检查邮件名和不正确的配置
check_anonftp 检查匿名FTP服务是否正确配置
check_cron 证实计划任务项
check_embedded 确定嵌套路径名是否正确配置
check_exports 分析NFS导出文件系统的配置文件,确定访问权限是否得到正确限制
check_group 检查用户组,查找冲突和错误项
check_inetd 检查inetd配置文件,比较服务定义,正确的目录路径,不存在的二进制文件以及活动服务
check_known 查找一直的入侵痕迹:后门和邮件临时目录
check_netrc 检查netrc文件是否不安全配置
check_nisplus 查找NIS+实体的错误配置
check_passwd 查找系统用户的冲突以及错误项
check_path 比对系统PATH环境变量和脚本中的PATH,查找不正确的定义
check_perms 检查文件权限和不一致之处
check_printcap 分析打印机控制文件的配置
check_rhosts 检查rhosts文件,防止系统易遭受攻击
check_sendmail 检查sendmail的配置文件
check_signature 将二进制文件签名和数据库里的信息比较
check_system 调用操作系统专用模块/usr/lib/tiger/systems
check_apache 检查apache配置文件,并上报会引入漏洞的问题
check_devices 检查设备权限,当设备拥有world permission时提出告警
check_exrc 分析不在用户主目录的.exrc文件,因为vi/ex会在当前目录查找这个文件,并运行其中的指令危害系统
check_findeleted 检查当前系统中是否有进程使用被删除的文件。这是入侵的表现,或者没启用打了补丁的服务器
check_ftpusers 分析/etc/ftpusers,确定是否存在有管理员权限的用户
check_issue 检查/etc/issue /etc/issue.net文件,确定是否包含合适的内容,定义在ISSUEFILEISSUENETFILE
check_logfiles 检查日志文件(wtmp btmp lastlog utmp)的存在,以及正确的umask设置
check_lilo 分析lilo和grub bootloader的配置文件
check_listeningprocs 检查监听TCP/IP套接字的进程/服务器,当未授权用户运行服务器或服务器监听所有接口时会告警
check_passwdformat 检查/etc/passwd的格式确定其中不一致的点
check_patches 检查系统是否有可用补丁
check_root 检查是否有远程root账户登录
check_rootdir 检查root目录的权限
check_rootkit 检查rootkit
check_single 检查系统是否正确配置禁止单用户访问
check_release 分析OS版本,确定是否过期
check_runproc 检查tigerrc中配置的进程是否在系统中运行,轻量级软件看门狗
check_services /etc/services里配置的服务和某service文件中应配置的服务对比
check_tcpd 测试TCP Wrapper防火墙以及其配置文件的修改,确定穿过防火墙的服务
check_umask 检查umask设置
check_xinetd 检查哪个xinetd服务被启用,那个被禁用
crack_run 安装密码破解程序确定当前用户是否使用弱口令
tripwire_run aide_run integrit_run 运行各种完整性校验程序
deb_checkadvisories 对比Debian Security Advisories列表查看系统中安装的软件包是否有漏洞
deb_checkmd5sums 比对二进制文件的MD5值
deb_nopackfiles 查找系统目录中不是由Debian包提供的文件

相关文件

@tiger-config-dir@/tigerrc Tiger配置文件

@tiger-config-dir@/cronrc Tigercron配置文件

@tiger-log-dir@ 日志目录

@tiger-work-dir@ TIger脚本创建临时文件的工作目录

@tiger-config-dir@/tiger.ignore 定义会被Tiger忽视,不会在最终报告中出现的消息的配置文件

0x03 tiger初体验

在运行tiger之前得先确保存在tigerrc这个配置文件,如果你想定制你的扫描功能,可以尝试修改该配置文件。

然后呢,如果只是试用tiger的话,你其实不必和上文说的那样,安装整个tiger,只需运行源码目录下的./tiger就可以生成一份审计简报了。如下。

这是在tiger源码目录中试用tiger。

这是生成的简报。

要是你只是想对特定的项目进行扫描而不想等太久,可以独立运行脚本,这些脚本在./script目录中,现在我们就来试一试。安全简报会输出到stdout上,你也可以重定向到文件里。

试试其中的exports检查吧。

sudo /usr/lib/tiger/script/check_exports

如图是检查exports,将检查结果输出到stdout中。

接下来是:

sudo ./scripts/check_accounts > ~/2.txt 

这个脚本用于检查accounts,并将报告输出至文件2.txt

如果你想讲报告以HTML的格式输出,请使用-H选项,这会生成一个HTML文本,会有超链接到消息文本。让我们来试试吧。

sudo tiger -H

让我们看看他的HTML文件。

基本上可以看到Tiger输出的HTML格式报告了。

如果你想获得更多关于tiger报告中的信息,有三种方法可供你选择。

执行命令

tigexp msgid

msgid就是报错中你可以看到的[]中的编码。如下获得详情。

WARN [fsys013w]cannot access ~/workspace/src/justniffer-0.5.12/m4/ltsugar.m4 is a dangling symlink.

tigexp fsys013w

即可获知:

往报告里添加解释

通过在命令里添加-e选项可以在报告中添加解释语句。

sudo tiger -e

产生的报告如下所示。

随后你可以将报告里的信息输出到stdout中。

sudo tigexp -F report-file

如下是将上图中的解释文本输出至stdout。

独立生成解释文件

要是觉得报告太大,那就将解释文件中的解释语句独立输出至stdout,且不重复输出解释信息。这么做:

sudo tigexp -f report-file

结果如下:

通常运行Tiger

其一是不通过计划任务运行tiger:

sudo tiger

其二是将tiger作为计划任务运行。

sudo tigercron

计划任务会在运行完毕后发送email到一个特定的用户(在tigerrc中指定),这个报告中仅包含发生变化的信息,即change关键字。

我们也可以将tiger作为HIDS来使用。

0x04 Tiger HIDS

Tiger能够被当做两种工具来使用:审计工具&HIDS。

Tiger的工作流程如下:

  1. 特定时间运行特定模块
  2. 过滤掉忽略的信息
  3. 模块中的消息与特定规则中的消息对比 只有没报告过的或者不在规则中的信息会被检查
  4. 全部消息或差别会通过email发送给相关人员

Tiger能够以计划任务周期性运行,tigercron就是用来运行tiger的计划任务的,他会读取cronrc配置文件(一般在目录/etc/tiger/usr/local/etc/tiger中)。该文件会指定tiger该进行的检查条目以及检查时间。

当运行一个模块时,tigercron程序在tigerrc中会进行相应的检查:

  • 若设置Tiger_Cron_Template为Y,他会对是否存在称述期待结果的模板进行检查
  • 若设置Tiger_Cron_CheckPrev为Y,他会对其检查的模块是否之前运行过进行检查

报告之间的差异可以让我们轻松的检测到存在入侵。如果有新的入侵行为,tiger会侦测到某些运行的东西发生了改变,如文件修改,新进程,新用户,随后将新的安全报告邮件给管理员。

然而作为一个HIDS,最好和其他安全工具配合使用:

  • 完整性校验工具:Tripwire和Aide
  • 日志检查器:logcheck
  • 检测rootkit的工具:chkrootkit
  • 网络IDS:Snort
  • 端口扫描检测器:portsentry、scanlogd、scandetd或psad

tripwire_run模块可以通过Tiger来运行tripwire,系统管理员可以以这种方式自己再自定义一些工具扫描模块。

0x05 Tiger优缺点

优势

  1. 开源
  2. 模块化设计易于扩展
  3. 多用途,可用于审计和入侵检测
  4. 将多个工具进行整合形成了框架
  5. 能够发现多种配置上的错误,侦测主机对已删除的文件的使用行为

劣势

  1. 对安全事件的检查无法面面俱到,会有漏报
  2. agent和log server之间的通信信道未进行加密,仅仅是通过邮件
  3. Tiger Server无法在单一位置接收全部告警,并将其相关联
  4. 若tiger运行在一台危险的主机上时,其产生的报告也将变得不可信
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,014评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,796评论 3 386
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,484评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,830评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,946评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,114评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,182评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,927评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,369评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,678评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,832评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,533评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,166评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,885评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,128评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,659评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,738评论 2 351

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,639评论 18 139
  • Ubuntu的发音 Ubuntu,源于非洲祖鲁人和科萨人的语言,发作 oo-boon-too 的音。了解发音是有意...
    萤火虫de梦阅读 99,217评论 9 467
  • linux资料总章2.1 1.0写的不好抱歉 但是2.0已经改了很多 但是错误还是无法避免 以后资料会慢慢更新 大...
    数据革命阅读 12,150评论 2 34
  • Spring Boot 参考指南 介绍 转载自:https://www.gitbook.com/book/qbgb...
    毛宇鹏阅读 46,781评论 6 342
  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,884评论 25 707