Tripwireのインストール

http://www.tripwire.org/ からtripwire-2.3-47.i386.tar.gz をget

# tar xvzf tripwire-2.3-47.i386.tar.gz
# rpm -ivh tripwire-2.3-47.i386.rpm

設定ファイルの作成

# /etc/tripwire/twinstall.sh
サイトキーファイルのパスフレーズを入力
Enter the site keyfile passphrase:

もう一度入力
Verify the site keyfile passphrase:

ローカルキーファイルのパスフレーズを入力
Enter the local keyfile passphrase: 

もう一度入力
Verify the local keyfile passphrase:

最初に入力したパスフレーズを入力
Please enter your site passphrase: 

さらにもう一度入力
Please enter your site passphrase:

これで /etc/tripwire 以下に ホスト名-local.key と site.key ができる

必要に応じて /etc/tripwire/twcfg.txt の内容を変更する(特に必要なし。と思う)

設定ファイルの暗号化

# /usr/sbin/twadmin -m F -c tw.cfg -S site.key /etc/tripwire/twcfg.txt

サイトキーの入力
Please enter your site passphrase:

ポリシーファイルの作成

必要に応じて /etc/tripwire/twpol.txt の内容を変更する(見てもよくわからないので特に必要なし。と思う)

ポリシーファイルを暗号化する

# /usr/sbin/twadmin -m P -S site.key twpol.txt 

サイトキーの入力
Please enter your site passphrase: 

比較用データベースの作成

初めは比較するファイルがないのでかなりのWarningが出ます

# /usr/sbin/tripwire -m i

ローカルキーの入力
Please enter your local passphrase:

Warningを参考にして存在しないファイルをコメントアウトもしくは削除する(ファイルの場所が違うだけかもしれないので注意)

# vi twpol.txt 

一通り削除して再度ポリシーファイル作成

# /usr/sbin/twadmin -m P -S site.key twpol.txt
# /usr/sbin/tripwire -m i

でWarningが出なければOK

整合性チェック

# /usr/sbin/tripwire -m c

結果は /var/lib/tripwire/report に {ホスト名}-{日付}-{時間}.twr のファイルとして保存される

定期的にチェックするにはcronに登録する

# vi /etc/cron.daily/tripwire-check
#!/bin/sh
HOST_NAME=`uname -n`
if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then
  echo "****    Error: Tripwire database for ${HOST_NAME} not found.    ****"
  echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****"
else
  test -f /etc/tripwire/tw.cfg &&  /usr/sbin/tripwire --check
fi
# chmod 755 /etc/cron.daily/tripwire-check

データベースのアップデート

# /usr/sbin/tripwire --update --twrfile {ホスト名}-{日付}-{時間}.twr

viが立ち上がる

-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------

Remove the "x" from the adjacent box to prevent updating the database
with the new values for this object.

Modified:
[x] "/var/log/boot.log"
[x] "/var/log/boot.log.1"
[x] "/var/log/boot.log.2"
[x] "/var/log/boot.log.3"
[x] "/var/log/boot.log.4"

[x]とチェックがついているものがデータベースに反映されるチェックをはずせば反映されないよければ保存して終了

ローカルパスフレーズを入力
Please enter your local passphrase:

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2005-11-21 (月) 18:14:51 (4956d)