初めてのmakeserverTOP > サーバ運用/管理 > Tripwire

Tripwireについて

 
Tripwireとは

ファイルやディレクトリが追加された場合や、削除された場合などを監視
するためのツールで、ファイル改ざん検知として定番なので導入します。

 


●ダウンロードと展開

最新版はこちらで確認ください。

# cd /usr/local/bin
(「cd」コマンドを使って移動)

# wget http://jaist.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.4.1.2-src.tar.bz2
(「wget」コマンドを使ってダウンロードします。)

# tar jxvf tripwire-2.4.1.2-src.tar.bz2
(「tar」コマンドを使って展開)

# rm -f tripwire-2.4.1.2-src.tar.bz2
(「rm」コマンドを使って削除)

# cd tripwire-2.4.1.2-src
(「cd」コマンドを使って展開してできたディレクトリに移動)









 


●インストール

# ./configure --prefix=/usr/local/tripwire sysconfdir=/etc/tripwire
(インストール先を「/usr/local/tripwire」とし
    システムコンフィグを「/etc/tripwire」に展開)

# make
# make install
(「make install」コマンドを入力すると以下表示されます。)



Press ENTER to view the License Agreement.
(「Enter」キーを押します。)



説明文(英語)が続きます。スペースキーを押して先へ進みます。



Please type "accept" to indicate your acceptance of this
license agreement. [do not accept] accept
(「accept」と入力します。)



Continue with installation? [y/n] y
(「y」を入力します。)



Enter the site keyfile passphrase
(「site」用パスフレーズの入力)



Enter the site keyfile passphrase:  (任意の英数文字入力)
Verify the site keyfile passphrase:  (任意の英数文字再度入力)
   Enter the local keyfile passphrase
   (「local keyfile」用パスフレーズの入力)



Enter the local keyfile passphrase:  (任意の英数文字入力)
Verify the local keyfile passphrase:  (任意の英数文字再度入力)



(「Wrote configuration ../style/img/ /etc/tripwire/tw.cfg」)



インストール終了

 


●Tripwire設定

# vi /etc/tripwire/twcfg.txt
(「vi」コマンドを使ってデフォルトの設定ファイル「twcfg.txt」を編集。)

MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =4
REPORTLEVEL =4
MAILMETHOD =SMTP
SYSLOGREPORTING =false
MAILPROGRAM =/usr/sbin/postfix















MAILNOVIOLATIONS =true
(検知しなくてもレポートをメールで送信する「true」しない「false」)

EMAILREPORTLEVEL =4
(メールでのレポートレベルを「0-低い〜4-高い」で指定)

REPORTLEVEL =4
(レポートレベルを「0-低い〜4-高い」で指定)

MAILMETHOD =SMTP
(メール送信に使用するプロトコルを指定)

SYSLOGREPORTING =false
(TripwireのメッセージをSyslogにuser.noticeレベルで出力しない??)

MAILPROGRAM =/usr/sbin/postfix
(メール送信のパスを指定「postfix」を使用する場合)

編集が終わったら設定を保存して終了します。

 


●Tripwire設定ファイル(暗号版)作成

# /usr/local/sbin/twadmin --create-cfgfile -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
(テキスト版から暗号版のファイル作成)
***注意***





(サイトパスフレーズを入力)

# rm -f /etc/tripwire/twcfg.txt
(「rm」コマンドを使ってテキスト版設定ファイル削除)

# /usr/local/sbin/twadmin --print-cfgfile > /etc/tripwire/twcfg.txt
(テキスト版設定ファイルを復元する場合)

 


●ポリシーファイル設定

存在する全てのファイル監視を有効にして、存在しない全てのファイル監視を
無効に、Perlスクリプトを利用して、ポリシーファイルを最適化する
こちらのサイトからPerlスクリプトを利用させていただきました。感謝です!!

※2010年12月の状況では上記サイトはアクセスできませんでした。
コチラのサイトからスクリプトファイルが取得できます。


# cd /etc/tripwire/
(「cd」コマンドを使って移動)

# wget http://www.aritia.org/hizumi/linux/tripwire_pol.pl.txt
(「wget」コマンドを使ってPerlスクリプトファイルをダウンロード)
# wget http://www.techch.com/wiki/index.php?plugin=attach&refer=Linux%E9%96%A2%E9%80%A3%2FCentOS%E3%81%AE%E8%A8%AD%E5%AE%9A%2831%29&openfile=tripwire_pol.pl.txt


# mv tripwire_pol.pl.txt tripwire_pol.pl
(「mv」コマンドを使って名前を変更)

# chmod 700 /etc/tripwire/tripwire_pol.pl
(Perlスクリプトファイルに実行権限を付ける)

 


●ポリシーファイル最適化

# /etc/tripwire/tripwire_pol.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new
(デフォルトのポリシーファイルを元にポリシーファイルを最適化する)

# rm -f /etc/tripwire/twpol.txt
(「rm」コマンドを使って、デフォルトのポリシーファイルを削除)

# mv /etc/tripwire/twpol.txt.new /etc/tripwire/twpol.txt
(「mv」コマンドを使って、ポリシーファイル名を変更)

# /usr/local/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt
(最適化ポリシーファイルから暗号版のファイル作成)





(サイトパスフレーズを入力)

# rm -f /etc/tripwire/twpol.txt
(「rm」コマンドを使って、テキスト版ポリシーファイル削除)

# /usr/local/sbin/twadmin --print-polfile > /etc/tripwire/twpol.txt
(テキスト版設定ファイルを復元する場合)

 


●データベース作成

# /usr/local/sbin/tripwire --init




(ローカルパスフレーズを入力)

環境によると思いますがしばらく時間がかかります。





 


●Tripwireチェック実行確認

# /usr/local/sbin/tripwire --check




環境によると思いますがしばらく時間がかかります。






(チェック終了)

 


●Tripwire定期自動実行設定

Tripwire定期自動実行スクリプト作成

# cd
(「cd」コマンドを使って移動)

# vi tripwire.sh
(「vi」エディタを使ってスクリプトを新規作成。)

------ここから追加------
#!/bin/sh

# config
tripwire=/usr/local/sbin/tripwire
twadmin=/usr/local/sbin/twadmin
log=/var/log/tripwire.log
localpass=(ローカルパスフレーズ)
sitepass=(サイトパスフレーズ)

# Tripwire-check
$tripwire --check --email-report > $log

# polfile
$twadmin --print-polfile > /etc/tripwire/twpol.txt
/etc/tripwire/tripwire_pol.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new
twadmin --create-polfile -S /etc/tripwire/site.key -Q $sitepass /etc/tripwire/twpol.txt.new >> $log

# dell
rm -f /etc/tripwire/twpol.*
rm -f /usr/local/tripwire/lib/tripwire/*.twd*
$tripwire --init -P $localpass >> $log

------ここまで追加------


# chmod 700 tripwire.sh
(「chmod」コマンドを使ってスクリプトへ実行権限付ける)

# crontab -e
(cron編集)

00 07 * * * /root/tripwire.sh
(毎朝7時に実行)

# /etc/init.d/crond restart
(「crond」再起動)

 


●テストメッセージ送信

# /usr/local/sbin/tripwire --test --email root@testlinux.dip.jp
(テストメッセージの送信。.ご自身の環境に置き換えてください。)


***注意***
「tripwire」「twadmin」について「/usr/local/sbin」にあったのですが、
別のマシンにインストールしたときは違っていました。

「updatedb」コマンドを使ってデータベースを更新し「locate」コマンドで
検索したら「/usr/local/tripwire/sbin/」にあったのですが、
ホームページを更新するのが、面倒なので、以下のようにリンクを張りました。

# ln -s /usr/local/tripwire/sbin/tripwire /usr/local/sbin/
# ln -s /usr/local/tripwire/sbin/twadmin /usr/local/sbin/
 

サーバ運用/管理記事一覧

NET-SNMP

SNMPとはルータやコンピュータ、端末など、ネットワークに接続された通信機器を監視・制御するためのプロトコル。制御の対象となる機器はMIBと呼ばれる管理情報データベース...

Tripwire

Tripwireとはファイルやディレクトリが追加された場合や、削除された場合などを監視するためのツールで、ファイル改ざん検知として定番なので導入します。&nbs...

Denyhosts

DenyHostsとはこれはSSHブルートフォース対策に使います。辞書攻撃とかで、適当なユーザ名・パスワードを使って、侵入をしようとします。1分間に10回以上は...

Fail2ban

Fail2banとはこれも、「denyhosts」同様にログをチェックして、設定以上に認証に失敗していたら失敗したIPアドレスからの接続を拒否するよくあるブルートフ...

munin

muninとは設定が簡単で、システムを監視していろいろな値を取得してグラフ化してくれるものです。ディスク使用量・MySQL・IOstat・トラフィック・プロセス数・VM...

nagios

Nagios(3系 日本語版)とは指定されたホストやサービスを監視し、障害や復旧時にアラートをメール通知するなどの機能があるオープンソースで作られた総合監視ツール。...

nagios-Plugin

Nagios Pluginとは監視ツール「Nagios」はプラグインを追加することで監視する項目を増やすことができます。デフォルトでの監視項目では少し足りない部分が...

nagios-downtime

Nagios downtimeとはデフォルトで、ダウンタイムという機能があります。これはその時間帯を非監視にすることです。監視はするけど通知はしないというところでし...

nagios cheker

Nagios Chekerとは自宅ではFireFoxをブラウザとして使用しています。nagios関連で面白いものを見つけたので、アップしてみました。FireFoxの...

Snort

Snortとはネットワーク型IDS(Intrusion Detection System)です。ネットワークを流れるパケットをキャプチャーし、不審なパケットを検出する機能が...

Clam Antivirus

Clam AntiVirusとはLINUX用のフリーのアンチウイルスソフト ●Clam AntiVirusインストール# yum -y --e...

amavisd-new

amavisd-new送受信されるメールに対してウィルスチェックをするように設定をする。「postfix」「Clam AntiVirus」が設定済みであることが前提...

awstats

AWStatsとはAWStats (awstats6.95 日本語)アクセス解析・ログ解析「awstats」とは、アクセスを解析して、グラフィカルに表示するツールです。...