server_top


2004年04月02日

Tripwireによるファイル改竄チェック

Tripwireの入手とインストール
http://www.tripwire.org/からのダウンロード(2004.3.19現在の最新版は、tripwire-2.3-47.i386.rpm でした。)

# rpm -ivh tripwire-2.3-47.i386.rpm
# /etc/tripwire/twinstall.sh
----------------------------------------------
The Tripwire site and local passphrases are used to
sign a variety of files, such as the configuration,
policy, and database files.

Passphrases should be at least 8 characters in length
and contain both letters and numbers.

See the Tripwire manual for more information.

----------------------------------------------
Creating key files...

(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Enter the site keyfile passphrase:********
Verify the site keyfile passphrase:********
Generating key (this may take several minutes)...Key generation complete.

(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Enter the local keyfile passphrase:********
Verify the local keyfile passphrase:********
Generating key (this may take several minutes)...Key generation complete.

----------------------------------------------
Signing configuration file...
Please enter your site passphrase:********
Wrote configuration file: /etc/tripwire/tw.cfg

A clear-text version of the Tripwire configuration file
/etc/tripwire/twcfg.txt
has been preserved for your inspection. It is recommended
that you delete this file manually after you have examined it.

----------------------------------------------
Signing policy file...
Please enter your site passphrase:********
Wrote policy file: /etc/tripwire/tw.pol

A clear-text version of the Tripwire policy file
/etc/tripwire/twpol.txt
has been preserved for your inspection. This implements
a minimal policy, intended only to test essential
Tripwire functionality. You should edit the policy file
to describe your system, and then use twadmin to generate
a new signed copy of the Tripwire policy.
インストール後の手順
/etc/tripwire/twcfg.txt(基本的な設定ファイル)や/etc/tripwire/twpol.txt(チェックするポリシーが書かれているファイル)に変更があれば編集。(特に編集しなくてもOK)

設定スクリプトを実行
# /etc/tripwire/twinstall.sh
Tripwireデータベースファイルの初期化
#/usr/sbin/tripwire --init
Tripwireデータベースとシステムファイルを比較。レポートをチェックして問題がないか確認する。
# tripwire --check
設定ファイル(twcfg.txtやtwpol.txt)を変更したら、twinstall.shの実行から再びやり直す。また、データベースを作り直すときは、tripwire --init を実行する。

改竄チェックの自動化
/etc/cron.dailyに以下の内容でtripwire-check.cronというファイルを作成することで毎日自動でチェックを行い、メールでリポートを送ってくれる。

#!/bin/sh
#
# File integrity check by tripwire
#
# 2002.5.1 H. Takenouchi

/usr/sbin/tripwire --check

blank_space
投稿者 たけのうち : 2004年04月02日 00:42 | トラックバック
コメント
blank_space
コメントする









名前、アドレスを登録しますか?






blank_space
Trackback
blank_space