- 追加された行はこの色です。
- 削除された行はこの色です。
#contents
*Tripwireのインストール [#e2583cf9]
http://www.tripwire.org/ からtripwire-2.3-47.i386.tar.gz をget
# tar xvzf tripwire-2.3-47.i386.tar.gz
# rpm -ivh tripwire-2.3-47.i386.rpm
*設定ファイルの作成 [#j3fafe18]
# /etc/tripwire/twinstall.sh
サイトキーファイルのパスフレーズを入力
Enter the site keyfile passphrase:
もう一度入力
Verify the site keyfile passphrase:
ローカルキーファイルのパスフレーズを入力
Enter the local keyfile passphrase:
もう一度入力
Verify the local keyfile passphrase:
最初に入力したパスフレーズを入力
Please enter your site passphrase:
さらにもう一度入力
Please enter your site passphrase:
これで /etc/tripwire 以下に ホスト名-local.key と site.key ができる
必要に応じて /etc/tripwire/twcfg.txt の内容を変更する(特に必要なし。と思う)
*設定ファイルの暗号化 [#ja2742e7]
# /usr/sbin/twadmin -m F -c tw.cfg -S site.key /etc/tripwire/twcfg.txt
サイトキーの入力
Please enter your site passphrase:
*ポリシーファイルの作成 [#icf30e31]
必要に応じて /etc/tripwire/twpol.txt の内容を変更する(見てもよくわからないので特に必要なし。と思う)
ポリシーファイルを暗号化する
# /usr/sbin/twadmin -m P -S site.key twpol.txt
サイトキーの入力
Please enter your site passphrase:
*比較用データベースの作成 [#y10a3f51]
初めは比較するファイルがないのでかなりのWarningが出ます
# /usr/sbin/tripwire -m i
ローカルキーの入力
Please enter your local passphrase:
Warningを参考にして存在しないファイルをコメントアウトもしくは削除する(ファイルの場所が違うだけかもしれないので注意)
# vi twpol.txt
一通り削除して再度ポリシーファイル作成
# /usr/sbin/twadmin -m P -S site.key twpol.txt
# /usr/sbin/tripwire -m i
でWarningが出なければOK
*整合性チェック [#k48d2c62]
# /usr/sbin/tripwire -m c
結果は /var/lib/tripwire/report に {ホスト名}-{日付}-{時間}.twr のファイルとして保存される
定期的にチェックするにはcronに登録する
# vi /etc/cron.daily/tripwire-check
#!/bin/sh
HOST_NAME=`uname -n`
if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then
echo "**** Error: Tripwire database for ${HOST_NAME} not found. ****"
echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****"
else
test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check
fi
# chmod 755 /etc/cron.daily/tripwire-check
*データベースのアップデート [#z464d48c]
# /usr/sbin/tripwire --update --twrfile {ホスト名}-{日付}-{時間}.twr
viが立ち上がる
-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------
Remove the "x" from the adjacent box to prevent updating the database
with the new values for this object.
Modified:
[x] "/var/log/boot.log"
[x] "/var/log/boot.log.1"
[x] "/var/log/boot.log.2"
[x] "/var/log/boot.log.3"
[x] "/var/log/boot.log.4"
[x]とチェックがついているものがデータベースに反映されるチェックをはずせば反映されないよければ保存して終了
ローカルパスフレーズを入力
Please enter your local passphrase: