Tripwire Memo
環境 : Ubuntu 6.06 LST (VMware Host OS : Windows Xp sp2)
Last-Modified:<2008-03-20 11:16:38>
Tripwireは何?
クラッカーによる進入を検出するため、重要なシステムフ ァイルなどが予定外に変更されていないか調べる 整合性チェック(integrity check)を行うもの。
インストールと設定ファイル、ポリシファイルの生成
% sudo apt-get install tripwire
対話形式で初期設定が進む。 サイトキーとローカルキーの入力を行うと、標準の設定フ ァイルtwcfg.txtに署名しサイトキーを 使ってtw.cfgが生成され、標準のポリシファイルtwpol.txtに署 名しサイトキーを使ってtw.polが生成される。
-
サイトキー ポリシファイルと設定ファイルの保護
-
ローカルキー データベースとレポートの保護
設定ファイル
/etc/tripwire/twcfg.txt
ポリシファイル
/etc/tripwire/twpol.txt
以下は個別にコマンドで行う場合
サイトキーの生成
% sudo twadmin --generate-keys --site-keyfiles /etc/tripwire/site.key
ローカルキーの生成
% sudo twadmin --generate-keys --local-keyfiles /etc/tripwire/`hostname`-local.key
設定ファイルに署名
% sudo twadmin --create-cfgfile --cfgfile /etc/tripwire/tw.cfg \ --site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txt
ポリシファイルに署名
% sudo twadmin --create-polfile --polfile /etc/tripwire/tw.pol \ --site-keyfile /etc/tripwire/site.key /etc/tripwire/twpol.txt
パーミッションを設定
% cd /etc/tripwire % sudo chown root:root site.key `hostname`-local.key tw.cfg tw.pol % sudo chmod 600 site.key `hostname`-local.key tw.cfg tw.pol
データベースの作成
% sudo tripwire --init
ローカルキーを入力すればよい。(少し時間がかかる)
Warning: File system error.
と表示されるのは存在しないファイルをポリシで指定して いるから。そこで、twpol.txtを編集して、 存在しないファイルは#でコメントアウト。その後、ポリシファイルに署名して再度
% sudo tripwire --init
### Warning: File system error. ### Filename: /proc/4008/fd/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/4008/task/4008/fd/4 ### No such file or directory ### Continuing...
と表示される。(ほっといても大丈夫だと思われる)
そして、暗号化されていない設定ファイルとポリシファイ ルを削除しておく。
% sudo rm twcfg.txt twpol.txt
後で設定、ポリシを確認したい、変更したいときは以下の ようにテキスト形式に変換する。
設定をテキスト形式に
% cd /etc/tripwire % sudo twadmin --print-cfgfile > twcfg.txt
ポリシをテキスト形式に
% cd /etc/tripwire % sudo twadmin --print-polfile > twpol.txt
整合性をチェックする
% sudo tripwire --check
結果は標準出力もされるが /var/lib/tripwire/report/ にもバイナリ形式で保存される。
レポートをテキスト形式に変換するには
% sudo twprint --print-report --twrfile hostname-date.twr
ファイル名はたとえば virtual-ubuntu-20080317-223547.twr
データベースを最新の状態にする
レポートでは不整合として検出されているが、特に問題が ないので次回以降のチェックでは無視したい場合は レポートを元にデータベースを更新する。
% cd /var/lib/tripwire/report % sudo tripwire --update --twrfile report.twr
するとviが開き以下のようなものが表示される
Tripwire(R) 2.3.0 Integrity Check Report Report generated by: root Report created on: Mon Mar 17 22:35:47 2008 Database last updated on: Never
下へ行くと…
Remove the "x" from the adjacent box to prevent updating the database with the new values for this object. Removed: [x] "/etc/tripwire/twcfg.txt" [x] "/etc/tripwire/twpol.txt"ed Observed [x] "/etc/tripwire/twpol.txt.orig" ----------- Object Type Directory Directory Modified:Number 2049 2049 [x] "/etc/tripwire" 85321 85321 Mode drwxr-xr-x drwxr-xr-x
特に問題がない場合は[x]をそのままにして、データベース 更新に反映させる。 そして :q でviを抜けてローカルキーを入力。
TODO
-
結果のメール送信
-
整合性チェックの自動化
参考
参考リンク
参考書籍
-
LINUX セキュリティ クックブック