T.M LABORATORY

since 2006-01-30

Tripwire Memo

環境 : Ubuntu 6.06 LST (VMware Host OS : Windows Xp sp2)

Last-Modified:<2008-03-20 11:16:38>

Tripwireは何？

クラッカーによる進入を検出するため、重要なシステムフ ァイルなどが予定外に変更されていないか調べる 整合性チェック(integrity check)を行うもの。

インストールと設定ファイル、ポリシファイルの生成

% sudo apt-get install tripwire

対話形式で初期設定が進む。 サイトキーとローカルキーの入力を行うと、標準の設定フ ァイルtwcfg.txtに署名しサイトキーを 使ってtw.cfgが生成され、標準のポリシファイルtwpol.txtに署 名しサイトキーを使ってtw.polが生成される。

• サイトキー　ポリシファイルと設定ファイルの保護

• ローカルキー データベースとレポートの保護

設定ファイル

/etc/tripwire/twcfg.txt

ポリシファイル

/etc/tripwire/twpol.txt

以下は個別にコマンドで行う場合

サイトキーの生成

% sudo twadmin --generate-keys --site-keyfiles /etc/tripwire/site.key

ローカルキーの生成

% sudo twadmin --generate-keys --local-keyfiles /etc/tripwire/`hostname`-local.key

設定ファイルに署名

% sudo twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \
 --site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt

ポリシファイルに署名

% sudo twadmin --create-polfile　--polfile /etc/tripwire/tw.pol \
 --site-keyfile /etc/tripwire/site.key /etc/tripwire/twpol.txt

パーミッションを設定

% cd /etc/tripwire
% sudo chown root:root site.key `hostname`-local.key tw.cfg tw.pol
% sudo chmod 600 site.key `hostname`-local.key tw.cfg tw.pol

データベースの作成

% sudo tripwire --init

ローカルキーを入力すればよい。（少し時間がかかる）

　Warning: File system error.

と表示されるのは存在しないファイルをポリシで指定して いるから。そこで、twpol.txtを編集して、 存在しないファイルは#でコメントアウト。その後、ポリシファイルに署名して再度

% sudo tripwire --init

### Warning: File system error.
### Filename: /proc/4008/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/4008/task/4008/fd/4
### No such file or directory
### Continuing...

と表示される。（ほっといても大丈夫だと思われる）

そして、暗号化されていない設定ファイルとポリシファイ ルを削除しておく。

% sudo rm twcfg.txt twpol.txt

後で設定、ポリシを確認したい、変更したいときは以下の ようにテキスト形式に変換する。

設定をテキスト形式に

% cd /etc/tripwire
% sudo twadmin --print-cfgfile > twcfg.txt

ポリシをテキスト形式に

% cd /etc/tripwire
% sudo twadmin --print-polfile > twpol.txt

整合性をチェックする

% sudo tripwire --check

結果は標準出力もされるが /var/lib/tripwire/report/ にもバイナリ形式で保存される。

レポートをテキスト形式に変換するには

% sudo twprint --print-report --twrfile hostname-date.twr

ファイル名はたとえば virtual-ubuntu-20080317-223547.twr

データベースを最新の状態にする

レポートでは不整合として検出されているが、特に問題が ないので次回以降のチェックでは無視したい場合は レポートを元にデータベースを更新する。

% cd /var/lib/tripwire/report
% sudo tripwire --update --twrfile report.twr

するとviが開き以下のようなものが表示される

Tripwire(R) 2.3.0 Integrity Check Report

Report generated by:          root
Report created on:            Mon Mar 17 22:35:47 2008
Database last updated on:     Never

下へ行くと…

Remove the "x" from the adjacent box to prevent updating the database
with the new values for this object.

Removed:
[x] "/etc/tripwire/twcfg.txt"
[x] "/etc/tripwire/twpol.txt"ed                    Observed
[x] "/etc/tripwire/twpol.txt.orig"                 -----------
  Object Type          Directory                   Directory
Modified:Number        2049                        2049
[x] "/etc/tripwire"    85321                       85321
  Mode                 drwxr-xr-x                  drwxr-xr-x

特に問題がない場合は[x]をそのままにして、データベース 更新に反映させる。 そして :q でviを抜けてローカルキーを入力。

TODO

• 結果のメール送信

• 整合性チェックの自動化

参考

参考リンク

• http://www.atmarkit.co.jp/flinux/rensai/security08/security08a.html

• http://futuremix.org/2003/08/tripwire

参考書籍

• LINUX セキュリティ クックブック

Memoに戻る | Homeに戻る