Tripwire の基本的なこと

vohedge — Sun, 26 Apr 2009 13:43:53 +0000

VMware と CentOS で、宅内テスト環境を作っています。WEB 上には情報がそろっていて、なんとか初めての人でもテスト用の環境くらいはできそうな感じです。でもやっぱり、参照している手順の意味がわからないということが多々。

今回は Tripwire について調べてみました。

Tipwireってなに？

こんなツール

Tripwire は、最初にファイルの情報をデータベース化します。その後、定期的に実際のファイル情報をチェックして、データベースのファイル情報と違う点がないか確認します。不正にファイルが改ざんされたことや、そのタイミングを知ることができるようです。

チェックするファイル、ディレクトリ情報

Tripwire は以下の情報をデータベース化して、チェック時に比較します。

ファイルのアクセス権 (p)
所有者のユーザーID (u)
所有者のグループ ID (g)
ファイルのサイズ (s)
MD5 ハッシュ (M)

導入・運用フロー

インストールしたら、ファイルの監視対象と監視方法を「ポリシーファイル」で指定して、ポリシーファイルにもとづいて「データベース」を作成します。

「整合性チェック」をしてみて、変更があれば「レポート」を確認。変更がやばいものなら、対策しなきゃ！変更が問題ないものなら、毎回警告しないようにポリシーの修正を行ったり、データベースの更新をしたり。

で、また整合性チェックをして、の繰りかえしとなるようです。

Tripwire のファイルの構成

/usr/sbin (実行ファイル)

tripwire	整合性チェック、データベースの初期化などを行う。
twadmin	設定ファイルやポリシーファイルの管理、鍵ファイルの管理と暗号署名などを行う。
twprint	レポートファイルやデータベースの内容を表示する。
siggen	ファイルのハッシュ値を計算するツール。指定したファイルの CRC32、MD5、SHA、HAVAL のハッシュ値を計算することができる。

/etc/tripwire (設定ファイル)

tw.cfg	Tripwire 全体の設定ファイル。サイトキーで暗号化される。
twcfg.txt	このファイルから tw.cfg を生成する。
tw.pol	ポリシーファイル。バイナリファイルでサイトキーで暗号化される。
twpol.txt	このファイルから tw.pol を生成する。デフォルトでは Redhat 7.0 をフルオプションでインストールした状態を想定して書かれている。
ホスト名-local.key	データベースとレポートファイルの署名に利用される、ローカルキーが保存される。
site.key	設定ファイルとポリシーファイルの署名に利用される、サイトキーが保存されるファイル。

/var/lib/tripwire/ (データベースとレポート)

ホスト名.twd	整合性チェックに比較基準となるデータベース。
report/ホスト名-日時.twr	整合性チェックの結果が出力されるファイル。

よく使うコマンド

データベースの初期化

/usr/sbin/tripwire -m i

整合性チェック

/usr/sbin/tripwire -m c

設定ファイルの確認

/usr/sbin/twadmin -m f

設定ファイルの生成

/usr/sbin/twadmin -m F ?S site.key twcfg.txt

ポリシーファイルの確認

/usr/sbin/twadmin -m p

ポリシーファイルの生成

/usr/sbin/twadmin -m P ?c tw.cfg twpol.txt

ここまでは、そんなに難しくないですね。でもやっぱり、ポリシーファイルの作り方が難しそう。

以下を参考にしました。

TRIP WIRE FOR LINUX (本) 著：伊原英明発行：オライリージャパン

ITmedia エンタープライズ:第1回：Tripwireを導入する
http://www.itmedia.co.jp/enterprise/0209/11/n13.html

@IT : 第8回 Tripwireによるホスト型IDSの構築
http://www.atmarkit.co.jp/flinux/rensai/security08/security08a.html

A Magic Web » Tripwire