Tripwireによる侵入検知
の編集
https://yassu.jp/pukiwiki/index.php?Tripwire%A4%CB%A4%E8%A4%EB%BF%AF%C6%FE%B8%A1%C3%CE
[
トップ
] [
編集
|
差分
|
履歴
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
-- 雛形とするページ --
(no template pages)
#contents *Tripwireのインストール [#e2583cf9] http://www.tripwire.org/ からtripwire-2.3-47.i386.tar.gz をget # tar xvzf tripwire-2.3-47.i386.tar.gz # rpm -ivh tripwire-2.3-47.i386.rpm *設定ファイルの作成 [#j3fafe18] # /etc/tripwire/twinstall.sh サイトキーファイルのパスフレーズを入力 Enter the site keyfile passphrase: もう一度入力 Verify the site keyfile passphrase: ローカルキーファイルのパスフレーズを入力 Enter the local keyfile passphrase: もう一度入力 Verify the local keyfile passphrase: 最初に入力したパスフレーズを入力 Please enter your site passphrase: さらにもう一度入力 Please enter your site passphrase: これで /etc/tripwire 以下に ホスト名-local.key と site.key ができる 必要に応じて /etc/tripwire/twcfg.txt の内容を変更する(特に必要なし。と思う) *設定ファイルの暗号化 [#ja2742e7] # /usr/sbin/twadmin -m F -c tw.cfg -S site.key /etc/tripwire/twcfg.txt サイトキーの入力 Please enter your site passphrase: *ポリシーファイルの作成 [#icf30e31] 必要に応じて /etc/tripwire/twpol.txt の内容を変更する(見てもよくわからないので特に必要なし。と思う) ポリシーファイルを暗号化する # /usr/sbin/twadmin -m P -S site.key twpol.txt サイトキーの入力 Please enter your site passphrase: *比較用データベースの作成 [#y10a3f51] 初めは比較するファイルがないのでかなりのWarningが出ます # /usr/sbin/tripwire -m i ローカルキーの入力 Please enter your local passphrase: Warningを参考にして存在しないファイルをコメントアウトもしくは削除する(ファイルの場所が違うだけかもしれないので注意) # vi twpol.txt 一通り削除して再度ポリシーファイル作成 # /usr/sbin/twadmin -m P -S site.key twpol.txt # /usr/sbin/tripwire -m i でWarningが出なければOK *整合性チェック [#k48d2c62] # /usr/sbin/tripwire -m c 結果は /var/lib/tripwire/report に {ホスト名}-{日付}-{時間}.twr のファイルとして保存される 定期的にチェックするにはcronに登録する # vi /etc/cron.daily/tripwire-check #!/bin/sh HOST_NAME=`uname -n` if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then echo "**** Error: Tripwire database for ${HOST_NAME} not found. ****" echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****" else test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check fi # chmod 755 /etc/cron.daily/tripwire-check *データベースのアップデート [#z464d48c] # /usr/sbin/tripwire --update --twrfile {ホスト名}-{日付}-{時間}.twr viが立ち上がる ------------------------------------------------------------------------------- Rule Name: System boot changes (/var/log) Severity Level: 100 ------------------------------------------------------------------------------- Remove the "x" from the adjacent box to prevent updating the database with the new values for this object. Modified: [x] "/var/log/boot.log" [x] "/var/log/boot.log.1" [x] "/var/log/boot.log.2" [x] "/var/log/boot.log.3" [x] "/var/log/boot.log.4" [x]とチェックがついているものがデータベースに反映されるチェックをはずせば反映されないよければ保存して終了 ローカルパスフレーズを入力 Please enter your local passphrase: #exlink
タイムスタンプを変更しない
#contents *Tripwireのインストール [#e2583cf9] http://www.tripwire.org/ からtripwire-2.3-47.i386.tar.gz をget # tar xvzf tripwire-2.3-47.i386.tar.gz # rpm -ivh tripwire-2.3-47.i386.rpm *設定ファイルの作成 [#j3fafe18] # /etc/tripwire/twinstall.sh サイトキーファイルのパスフレーズを入力 Enter the site keyfile passphrase: もう一度入力 Verify the site keyfile passphrase: ローカルキーファイルのパスフレーズを入力 Enter the local keyfile passphrase: もう一度入力 Verify the local keyfile passphrase: 最初に入力したパスフレーズを入力 Please enter your site passphrase: さらにもう一度入力 Please enter your site passphrase: これで /etc/tripwire 以下に ホスト名-local.key と site.key ができる 必要に応じて /etc/tripwire/twcfg.txt の内容を変更する(特に必要なし。と思う) *設定ファイルの暗号化 [#ja2742e7] # /usr/sbin/twadmin -m F -c tw.cfg -S site.key /etc/tripwire/twcfg.txt サイトキーの入力 Please enter your site passphrase: *ポリシーファイルの作成 [#icf30e31] 必要に応じて /etc/tripwire/twpol.txt の内容を変更する(見てもよくわからないので特に必要なし。と思う) ポリシーファイルを暗号化する # /usr/sbin/twadmin -m P -S site.key twpol.txt サイトキーの入力 Please enter your site passphrase: *比較用データベースの作成 [#y10a3f51] 初めは比較するファイルがないのでかなりのWarningが出ます # /usr/sbin/tripwire -m i ローカルキーの入力 Please enter your local passphrase: Warningを参考にして存在しないファイルをコメントアウトもしくは削除する(ファイルの場所が違うだけかもしれないので注意) # vi twpol.txt 一通り削除して再度ポリシーファイル作成 # /usr/sbin/twadmin -m P -S site.key twpol.txt # /usr/sbin/tripwire -m i でWarningが出なければOK *整合性チェック [#k48d2c62] # /usr/sbin/tripwire -m c 結果は /var/lib/tripwire/report に {ホスト名}-{日付}-{時間}.twr のファイルとして保存される 定期的にチェックするにはcronに登録する # vi /etc/cron.daily/tripwire-check #!/bin/sh HOST_NAME=`uname -n` if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then echo "**** Error: Tripwire database for ${HOST_NAME} not found. ****" echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****" else test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check fi # chmod 755 /etc/cron.daily/tripwire-check *データベースのアップデート [#z464d48c] # /usr/sbin/tripwire --update --twrfile {ホスト名}-{日付}-{時間}.twr viが立ち上がる ------------------------------------------------------------------------------- Rule Name: System boot changes (/var/log) Severity Level: 100 ------------------------------------------------------------------------------- Remove the "x" from the adjacent box to prevent updating the database with the new values for this object. Modified: [x] "/var/log/boot.log" [x] "/var/log/boot.log.1" [x] "/var/log/boot.log.2" [x] "/var/log/boot.log.3" [x] "/var/log/boot.log.4" [x]とチェックがついているものがデータベースに反映されるチェックをはずせば反映されないよければ保存して終了 ローカルパスフレーズを入力 Please enter your local passphrase: #exlink
テキスト整形のルールを表示する