lpic303 侵入検知システム Tripwire

303の試験範囲の逆から初めているのでこれで5章の最後になり、Tripwire → Snortと進む予定です。

Tripwireは検知システムというか、ファイルの改ざんがないかチェックをするもので、このサーバーでも使い始めてほぼ2年くらいになりますが、チェックと言っても一番下の

===============================================================================
 Error Report:
 ===============================================================================
 
 No Errors

という表示を見たら、はい終了というのを2年続けている感じですw

Kernelのアップグレードも昔は自動でやっていたので、Tripwireで気づいていましたが、Yum-Cronの設定を変えたので、いまではTripwireは一瞬見るだけになっちまってます。

そうそう、この検知システムをレンタルサーバーでできないものかと考えて、全ファイルのハッシュ値をテキストに落として、時間ごとに比較するスクリプトをCronで回すというのを考えたのだけれど、確か当時は上手くいかなかった気がする。

また時間ができたらやってみるかね。

インストール手順はここでは省いて、オプションとか使い方に行こう。

オプション

tripwire コマンド
整合性チェック。ポリシーファイル・データベースファイルの更新のためのコマンド。

 

tripwire { -m i | –init } [ options… ] データベースの初期化時に指定
tripwire { -m c | –check } [ options… ] 整合性チェック時に指定
tripwire { -m u | –update } [ options… ] データベースファイルの更新
tripwire { -m p | –update-policy } [ options… ]
tripwire { -m t | –test } [ options… ]

twadmin コマンド
Tripwire 設定ファイルやポリシーファイルの表示・作成するコマンド。

twadmin -m G -S キーネーム サイトキーの作成
twadmin -m G -L キーネーム ローカルキーの作成
twadmin -m F -c tw.cfg -S site.key twcfg.txt 暗号化された設定ファイルを作成
twadmin -m f -c tw.cfg 暗号化された設定ファイルを確認
twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt ポリシーファイルの作成
twadmin -m p -c tw.cfg -p tw.pol -S site.key ポリシーファイルの中身を確認

みたいな感じです。

おおまかな流れは、設定ファイルをテキストで作って、暗号化して、データベースを作って整合性のチェックを随時おこなう感じかね。

メールで飛ばすなら –check -M です。

Tripwireはmanが英語なのでちょっと難しいですね。

短いバージョンと長いバージョンが混在しているコマンドはLpic101で大変な目にあったけれど、またもやここでも登場だ。短いものと長いものをちゃんと覚えておいた方がいいのはいままでの試験内容を考えた結果でござるよ。

てなわけでtwadminのオプション長いバージョン
twadmin -m G -S –generate-keys –site-keyfile
twadmin -m G -L –generate-keys –local-keyfile
twadmin-m F –create-cfgfile
twadmin -m f –print-cfgfile
twadmin -m P –create-polfile
twadmin -m p –print-polfile
twadmin -m E –encrypt

 

こんなとこですか。

ではまたー。

 

Similar Posts:


Leave a Reply

Your email address will not be published. Required fields are marked *