tripwireによるファイル改竄検知

[セキュリティ]

tripwireは定期的にデータベースとの照合を行いファイルに改竄がないかどうかを確認するためのソフトです。導入にはRPMを使用すると楽です。

RPMにてインストール

[root@www src]# rpm -ivh ./tripwire-2.3.1-21.i386.rpm

インストールスクリプトの実行

[root@www src]# tripwire-setup-keyfiles
Enter the site keyfile passphrase:
Enter the local keyfile passphrase:

※上記コマンドが存在しない場合はtwinstall.shというスクリプトが/etc/tripwire以下にあるかと思いますのでこちらを使用してください。

次に/usr/share/doc/tripwire-2.3.1/policyguide.txtを参考に/etc/twpol.txtを編集します。編集完了後、twadminで設定を反映させます。

[root@www tripwire]# twadmin -m P twpol.txt
Please enter your site passphrase:

Tripwireデータベースを初期化します。/var/lib/tripwire/$(HOSTNAME).twd が作成されます。

[root@www tripwire]# tripwire --init

整合性をチェックするには以下のようにします。

[root@www src]# tripwire -m c -M

※-Mでメールでレポートを飛ばします。その際twpol.txtでseverityの後にemailtoを指定する必要あり。

rulename = "File System and Disk Administraton Programs",
severity = $(SIG_HI),
emailto = webmaster@example.com

twcfg.txtやtwpol.txtは設定完了後削除すること。これらのファイルはtwadminコマンドで取り出せます。

[root@www src]# twadmin -m f > twcfg.txt
[root@www src]# twadmin -m p > twpol.txt

最後に定期的に整合性をチェックするようにcrontabに以下のエントリーを追加してください。間隔は短い方がよいのですが、システムにそれなりの負荷がかかりますのでご自分の環境に合わせて間隔を設定してください。

01 * * * * root /usr/sbin/tripwire -m c -M