TripWireの設定 |
---|
TripWire とは、IDS(不正侵入検知システム Intrusion Detection Systemの略)の1つです。
悪意のあるユーザーが勝手に設定ファイルを改竄する可能性があるので、改竄されたファイルが無いかチェックするプログラムです。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1.Tripwireのインストール | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
◆ Tripwireのダウンロード Tripwireは、Turbo Linuxには標準では付いていないので、以下のサイトからダウンロードしてきます。 http://www.tripwire.org このサイトには、Red Hat Linuxのパッケージ版とオープンソース版とありますが、オープンソース版だと sendmail が必要になるので、パッケージ版(Red Hat 7.x 対応)の方をダウンロードしてきます。 (2005/1/22の時点での最新版は tripwire-2.3-47 です。) ◆ Tripwireのインストール ダウンロードしてきた Tripwire を、適当な場所に置いて解凍します。 すると tripwire-2.3-47.i386.rpm が展開されるので、このパッケージをインストールします。 rpm -ihv tripwire-2.3-47.i386.rpm インストールが完了すれば”/etc/tripwire”というディレクトリィが作成されています。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2.Tripwireの起動 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
◆ Tripwireの初期設定 Tripwireを使用する前に以下のコマンドを実行します。 /etc/tripwire/twinstall.sh ここでTripwireを管理するための site key と local key のパスフレーズを入力します。 これが完了すると、いくつかの設定ファイルが作成されています。 ここでポリシーファイルと言う、チェックするファイルとチェックの仕方を記述してあるファイルが作成されます。 次にTripwire用のデータベースを作成します。 tripwire --init これが完了したら”/var/lib/tripwire/”の直下に、ホスト名.twd というファイルが作成されます。 ◆ 改竄のチェックの仕方 Tripwireの初期設定が完了したら、改竄チェックが出来るようになります。 以下の様にコマンドを実行します。 tripwire --check 適当なログに出力させると、より詳しい結果が出力されています。 tripwire --check >> ./tripwire.log | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.Tripwireの設定 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
◆ twpol.txtの記述の仕方 上記の状態のままでは、Red Hat Linuxに合わせてファイル改竄のチェックをしています。 またインストールされていないパッケージの設定ファイルの改竄チェックも行っているので、”No suchfile or directory”が結構な数で出力されると思います。 Tripwireのチェック対象の設定ファイルは”/etc/tripwire/twpol.txt”になります。 このファイルの中にチェックするファイルが記述されていますので、存在しないファイルはあらかじめ行の先頭に”#”を付けておきましょう。 ”smb.conf”など、Red Hat Linux と Turbo Linux の標準では違うディレクトリィに存在する場合がありますので、その辺りも注意して修正しましょう。 また、チェック対象のファイルを追加する事もできます。 設定ファイルの中身はいくつかルールブロックと言うグループによって分けられています。 適当なルールブロックの中に、行追加してチェックさせても良いですし、もしくは、ルールブロックを新規に追加しても良いです。 以下の様な書式で記述します。 ( <<--(1) 属性 = << 値 >> , ・・・ ) { <<--(2) << チェック対象のファイルパス >> -> << プロパティマスク >> ; ・・・ } (1) の部分でルールブロックを宣言します。 属性及びそれに対応する値は以下の表の通りです。
”,”を付けることによって、後ろに続ける事ができます。 その後にチェック対象のファイルパスとプロパティマスク(確認内容)を (2) で指定します。 以下がプロパティマスクとその内容です。
上記のプロパティマスクとは別にあらかじめ用意されているプロパティマスク変数があります。
◆ 設定ファイルの反映の仕方 ”twpol.txt”を修正ただけでは、ポリシーファイルとして設定が反映されません。 それとTripwire用のデータベースを新規に作成し直さないといけません。 以下のコマンドを実行してポリシーファイルの変更を反映させます。 twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt これで変更が反映されます。次にTripwire用のデータベースを作成し直します。 tripwire --init | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4.補足 Tripwireのデータベースは整合性チェック用として使用されています。 パスフレーズによって守られているため、ファイルの改竄する事は困難ですが、削除する事は可能なのです。 もしこのファイルが削除されると改竄チェックが出来なくなるので、フロッピーなどに保管して置く事をお勧めします。 データベースのファイル名は上にも書いた通り”/var/lib/tripwire/ホスト名 .twd”です。 |
先頭に戻る TOPページに戻る |