概要 †
変更監視ツール tripwireをインストールする。
手順 †
- tripwireをインストールする。
- 初期設定を行う。
1
2
3
4
5
| -
!
-
|
| tripwire-setup-keyfiles
|
- ポリシーファイルを調整するための確認を行う。
1
2
3
4
5
6
7
8
9
| -
!
-
!
-
!
-
|
| tripwire --init
tripwire --check > result.txt 2>&1
grep "### Filename" result.txt
|
- /etc/tripwire/twpol.txtを編集する。
- /etc/tripwire/twpol.txtを編集する。
1
2
| -
!
| LOOSEDIRECTORYCHECKING =true
|
- 設定を反映する。
1
2
3
4
| -
!
-
!
| twadmin -m P -S site.key twpol.txt
twadmin -m F -S site.key twcfg.txt
|
- 再確認後、チェックを実行する。
1
2
3
4
| -
!
-
!
| tripwire --init
tripwire --check
|
- 不要ファイル(*.txt、*.bak)を削除する。
- 私の環境ではtripwire_d.shを使用して定期実行を行っている。
補足 †
- /etc/tripwire/twpol.txtを編集。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| -
|
!
-
!
-
|
!
-
!
-
|
|
!
-
!
|
ファイル先頭
・・・
SIG_HI = 100 ;
( emailto = [email protected] )
{
(
rulename = "Tripwire Binaries",
severity = $(SIG_HI)
)
・・・
}
ファイル末尾
|
- /etc/tripwire/twpol.txtを編集する。
1
2
3
4
| -
!
-
!
| MAILMETHOD =SENDMAIL
MAILPROGRAM =/usr/sbin/sendmail -oi -t
|
- 設定を反映する。
1
2
3
4
| -
!
-
!
| twadmin -m P -S site.key twpol.txt
twadmin -m F -S site.key twcfg.txt
|
- /etc/cron.daily/tripwire-checkを開く。
デフォルトスクリプトではメールでレポートを飛ばさないうえ、DB初期化処理も入っていないので書き直す。
1
2
3
4
5
6
7
8
9
10
11
12
| -
!
-
!
-
!
|
tripwire=/usr/sbin/tripwire
[ -x $tripwire ] || exit 0
umask 027
tripwire --check --quiet --email-report
tripwire --init -P [ローカルパスフレーズ]
|
- /etc/cron.daily/tripwireにローカルパスフレーズを直書きするので、アクセス権限を変更
1
|
| chmod 700 /etc/cron.daily/tripwire-check
|
検証時の環境 †