Webコンテンツの改ざんやコマンドの置き換えなどのセキュリティ対策としてTripwireを導入しました。
下記サイトを参考にして構築しました。
ゼロから始めるLinuxセキュリティ(8):Tripwireによるホスト型IDSの構築
1)Tripwireのインストール
Tripwireのオープンソース版のrpmを入手し、インストールします。
# rpm -i tripwire-2.4.2.1-1.el6.x86_64
2)キーファイル作成
tripwireの設定ファイル、ポリシーファイルを暗号化するためのキーファイルを作成します。
下記コマンドを実行します。
# /usr/sbin/tripwire-setup-keyfiles
→何度かパスフレーズの入力を求められます。
→/etc/tripwireディレクトリに、”site.key”と”ホスト名-local.key”という名前のキーファイルが作成されます。
3)設定ファイル
/etc/tripwireディレクトリに下記設定ファイルがありますので、適宜変更します。
①twcfg.txt:設定ファイル
②twpol.txt:ポリシーファイル
4)動作確認
ポリシーファイルに簡単な設定を追加し、動作確認します。
①ポリシーファイルに下記設定を追加
/var/www/html -> $(SEC_CONFIG) ;
→apacheのコンテンツが変更されたら、その変更ファイルを検知するようにします。
②設定ファイルを暗号化
上記設定ファイルの内容が読まれるのを防ぐため暗号化します。
# twadmin -m P -S site.key twpol.txt
③ベースラインデータベースを作成
改ざん又は変更を検知する際の比較対象とするベースラインデータベースを作成します。
# tripwire -m i
④整合性チェック
ベースラインデータベースと比較して整合性をチェックします。
ここでは、動作確認のため、/var/www/htmlディレクトリにファイルを追加してから実行します。
改ざん又は変更があったか調べるため、整合性チェックを行います。
# tripwire -m c
→結果抜粋
Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- Invariant Directories 66 0 0 0 Tripwire Data Files 100 0 0 0 Critical devices 100 0 0 0 User binaries 66 0 0 0 Tripwire Binaries 100 0 0 0 Critical configuration files 100 0 0 0 Libraries 66 0 0 0 Operating System Utilities 100 0 0 0 * Temporary directories 33 1 0 0 Critical system boot files 100 0 0 0 ------------------------------------------------------------------------------- Rule Name: Temporary directories (/var/www/html) Severity Level: 33 ------------------------------------------------------------------------------- Added: "/var/www/html/httpd.conf"
上記のように追加されたファイルが”Added:・・・”とレポートされました。
関連記事の目次