http://www.tripwire.org/ からtripwire-2.3-47.i386.tar.gz をget
# tar xvzf tripwire-2.3-47.i386.tar.gz # rpm -ivh tripwire-2.3-47.i386.rpm
# /etc/tripwire/twinstall.sh
サイトキーファイルのパスフレーズを入力 Enter the site keyfile passphrase: もう一度入力 Verify the site keyfile passphrase: ローカルキーファイルのパスフレーズを入力 Enter the local keyfile passphrase: もう一度入力 Verify the local keyfile passphrase: 最初に入力したパスフレーズを入力 Please enter your site passphrase: さらにもう一度入力 Please enter your site passphrase:
これで /etc/tripwire 以下に ホスト名-local.key と site.key ができる
必要に応じて /etc/tripwire/twcfg.txt の内容を変更する(特に必要なし。と思う)
# /usr/sbin/twadmin -m F -c tw.cfg -S site.key /etc/tripwire/twcfg.txt サイトキーの入力 Please enter your site passphrase:
必要に応じて /etc/tripwire/twpol.txt の内容を変更する(見てもよくわからないので特に必要なし。と思う)
ポリシーファイルを暗号化する
# /usr/sbin/twadmin -m P -S site.key twpol.txt サイトキーの入力 Please enter your site passphrase:
初めは比較するファイルがないのでかなりのWarningが出ます
# /usr/sbin/tripwire -m i ローカルキーの入力 Please enter your local passphrase:
Warningを参考にして存在しないファイルをコメントアウトもしくは削除する(ファイルの場所が違うだけかもしれないので注意)
# vi twpol.txt
一通り削除して再度ポリシーファイル作成
# /usr/sbin/twadmin -m P -S site.key twpol.txt # /usr/sbin/tripwire -m i
でWarningが出なければOK
# /usr/sbin/tripwire -m c
結果は /var/lib/tripwire/report に {ホスト名}-{日付}-{時間}.twr のファイルとして保存される
定期的にチェックするにはcronに登録する
# vi /etc/cron.daily/tripwire-check
#!/bin/sh HOST_NAME=`uname -n` if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then echo "**** Error: Tripwire database for ${HOST_NAME} not found. ****" echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****" else test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check fi
# chmod 755 /etc/cron.daily/tripwire-check
# /usr/sbin/tripwire --update --twrfile {ホスト名}-{日付}-{時間}.twr viが立ち上がる
Rule Name: System boot changes (/var/log) Severity Level: 100
Remove the "x" from the adjacent box to prevent updating the database with the new values for this object.
Modified: [x] "/var/log/boot.log" [x] "/var/log/boot.log.1" [x] "/var/log/boot.log.2" [x] "/var/log/boot.log.3" [x] "/var/log/boot.log.4" [x]とチェックがついているものがデータベースに反映されるチェックをはずせば反映されないよければ保存して終了
ローカルパスフレーズを入力
Please enter your local passphrase: