Tripwireで監視

サーバー運用がかなり厳しいので寄付をしてくれる人がいたらこちら
メインPCもボロボロになってきたので、ついにほしいものリスト公開

この情報は古い可能性があります!

ものすごい久しぶりにhttp://www.tripwire.org/にいってみたらもうないんですね。
探したところここに移動してました。
現在tripwire-2.4.1.2が出ています。

インストール

うちの環境でF10/11で手動コンパイルするとtwadminで固まるので
yumからインストールして動かすことが出来ました。
手動コンパイルで動かない場合はyum -y install tripwireで
インストールしてみてください?

wget http://jaist.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.4.1.2-x86-bin.tar.bz2
tar jxvf tripwire-2.4.1.2-x86-bin.tar.bz2
cd tripwire-2.4.1.2-x86-bin
cp bin/* /usr/sbin/
cp man/man4/*.4 /usr/share/man/man4/
cp man/man5/*.5 /usr/share/man/man5/
cp man/man8/*.8 /usr/share/man/man8/
mkdir /etc/tripwire
cp policy/twpol-Linux.txt /etc/tripwire/twpol.txt
cp policy/policyguide.txt /etc/tripwire/
mkdir -p /var/lib/tripwire/report

サイトキーの作成

twadmin -m G -S /etc/tripwire/site.key
(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Enter the site keyfile passphrase: ***********
Verify the site keyfile passphrase: ***********
Generating key (this may take several minutes)...Key generation complete.

ローカルキーの作成

twadmin -m G -L /etc/tripwire/`hostname`-local.key

(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Enter the local keyfile passphrase: **************
Verify the local keyfile passphrase: **************
Generating key (this may take several minutes)...Key generation complete.

Tripwire設定ファイル(テキスト版)作成

/etc/tripwire/twcfg.txt

ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =true
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =4
MAILMETHOD =SENDMAIL
SYSLOGREPORTING =true
MAILPROGRAM =/usr/sbin/sendmail -oi -t

Tripwire設定ファイル(暗号署名版)作成

twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

Please enter your site passphrase: ***********
Wrote configuration file: /etc/tripwire/tw.cfg

rm -f /etc/tripwire/twcfg.txt

Tripwire設定ファイル(テキスト版)を復元する場合

twadmin -m f -c /etc/tripwire/tw.cfg > /etc/tripwire/twcfg.txt

/etc/tripwire/twpol.txt

@@section GLOBAL

TWROOT="/usr/sbin";
TWBIN="/usr/sbin";
TWPOL="/etc/tripwire";
TWDB="/var/lib/tripwire";
TWSKEY="/etc/tripwire";
TWLKEY="/etc/tripwire";
TWREPORT="/var/lib/tripwire/report";

ポリシーファイル最適化

perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new

最適化済ポリシーファイルを元に
ポリシーファイル(暗号署名版)作成

twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new
Please enter your site passphrase: **************
Wrote policy file: /etc/tripwire/tw.pol

rm -f /etc/tripwire/twpol.txt*

ポリシーファイル(テキスト版)を復元する場合

twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key > /etc/tripwire/twpol.txt

Tripwireデータベース作成

tripwire -m i -s -c /etc/tripwire/tw.cfg
Please enter your local passphrase: **********

tripwire -m c -s -c /etc/tripwire/tw.cfg

twprint -m r -c /etc/tripwire/tw.cfg -r /var/lib/tripwire/report/hostname-xxxxxx.twr

Tripwire定期自動実行スクリプト作成

/etc/tripwire/tripwire.sh

実行権限を与えてCronに登録

chmod 700 tripwire.sh
crontab -e
00 03 * * * /etc/tripwire/tripwire.sh

なんとなく説明的なもの

tripwireのコマンドについてちょこっと調べてみます。
tripwireコマンドには大きく分けて5つのモードが存在し、それぞれ以下の役割を果たしています。

  • データベース初期化モード

これはその名の通りデータベースを初期化します。
カッコ()内は良く使われる静的に実施してコンフィグファイルを指定するというオプションです

tripwire -m i (-s -c コンフィグファイル)

  • 完全なチェックモード

これはデータベースが正常かどうかをチェックするモードです。
カッコ()内は良く使われる静的に実施してコンフィグファイルを指定するというオプションです

tripwire -m c (-s -c コンフィグファイル)

  • データベースアップデートモード

これは既存のtripwireデータベースを最新のものに更新するモードです
使ったことが無いので、わかり次第順次掲載予定です。

  • ポリシーアップデートモード

これは既存のポリシーを最新のものに更新するモードです
使ったことが無いので、わかり次第順次掲載予定です。

  • テストモード

これはテストをするだけです。
使ったことが無いので、わかり次第順次掲載予定です。

コメントを追加

Plain text

  • HTMLタグは利用できません。
  • ウェブページアドレスとメールアドレスは、自動的にハイパーリンクに変換されます。
  • 行と段落は自動的に折り返されます。
CAPTCHA
また変更しました
Fill in the blank.