概要 †
変更監視ツール tripwireをインストールする。
手順 †
- tripwireをインストールする。
1
|
| apt-get install tripwire
|
- [はい]で続行。
- [はい]で続行。
- [はい]で続行。
- [はい]で続行。
- サイトパスフレーズを入力&再入力。
- ローカルパスフレーズを入力&再入力。
- [了解]で続行。
- ポリシーファイルを調整するための確認を行う。
1
2
3
4
5
6
7
8
9
| -
!
-
!
-
!
-
|
| tripwire --init
tripwire --check > result.txt 2>&1
grep Filename result.txt
|
- /etc/tripwire/twpol.txtを編集する。
- /etc/tripwire/twcfg.txtを編集する。
1
2
| -
!
| LOOSEDIRECTORYCHECKING =true
|
- 設定を反映する。
1
2
3
4
| -
!
-
!
| twadmin -m P -S site.key twpol.txt
twadmin -m F -S site.key twcfg.txt
|
- 再確認後、チェックを実行する。
1
2
3
4
| -
!
-
!
| tripwire --init
tripwire --check
|
- 不要ファイル(*.txt、*.bak)を削除
- 私の環境ではtripwire_d.shを使用して定期実行を行っている。
補足 †
- /etc/tripwire/twpol.txtを編集。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| -
|
!
-
!
-
|
!
-
!
-
|
|
!
-
!
|
ファイル先頭
・・・
SIG_HI = 100 ;
( emailto = [email protected] )
{
(
rulename = "Tripwire Binaries",
severity = $(SIG_HI)
)
・・・
}
ファイル末尾
|
- 設定を反映する。
1
2
| -
!
| twadmin -m P -S site.key twpol.txt
|
- /etc/cron.daily/tripwireを開く。
毎日メールでレポートを飛ばすので、以前の結果はノイズでしかなく、都度除外ファイルを手動で選別するのも現実的ではないので、DB初期化処理を追加する。
1
2
3
4
5
6
7
8
9
10
11
12
| -
!
-
!
-
!
|
tripwire=/usr/sbin/tripwire
[ -x $tripwire ] || exit 0
umask 027
tripwire --check --quiet --email-report
tripwire --init -P [ローカルパスフレーズ]
|
- /etc/cron.daily/tripwireにローカルパスフレーズを直書きするので、アクセス権限を変更
1
|
| chmod 700 /etc/cron.daily/tripwire
|
検証時の環境 †