[セキュリティ]


この日記のはてなブックマーク数 このエントリーを含むはてなブックマーク

tripwireは定期的にデータベースとの照合を行いファイルに改竄がないかどうかを確認するためのソフトです。導入にはRPMを使用すると楽です。


RPMにてインストール

[root@www src]# rpm -ivh ./tripwire-2.3.1-21.i386.rpm


インストールスクリプトの実行

[root@www src]# tripwire-setup-keyfiles
Enter the site keyfile passphrase:
Enter the local keyfile passphrase:


※上記コマンドが存在しない場合はtwinstall.shというスクリプトが/etc/tripwire以下にあるかと思いますのでこちらを使用してください。


次に/usr/share/doc/tripwire-2.3.1/policyguide.txtを参考に/etc/twpol.txtを編集します。編集完了後、twadminで設定を反映させます。

[root@www tripwire]# twadmin -m P twpol.txt
Please enter your site passphrase:


Tripwireデータベースを初期化します。/var/lib/tripwire/$(HOSTNAME).twd が作成されます。

[root@www tripwire]# tripwire --init


整合性をチェックするには以下のようにします。

[root@www src]# tripwire -m c -M


※-Mでメールでレポートを飛ばします。その際twpol.txtでseverityの後にemailtoを指定する必要あり。


rulename = "File System and Disk Administraton Programs",
severity = $(SIG_HI),
emailto = webmaster@example.com


twcfg.txtやtwpol.txtは設定完了後削除すること。これらのファイルはtwadminコマンドで取り出せます。


[root@www src]# twadmin -m f > twcfg.txt
[root@www src]# twadmin -m p > twpol.txt


最後に定期的に整合性をチェックするようにcrontabに以下のエントリーを追加してください。間隔は短い方がよいのですが、システムにそれなりの負荷がかかりますのでご自分の環境に合わせて間隔を設定してください。

01 * * * * root /usr/sbin/tripwire -m c -M



関連記事
sshdfilter
iptalbesでdhcpを通す
ssh-agent - 公開鍵認証の鍵管理
chrootssh
chrootkit - rootkitの検出
scponly
iptablesでftpを通す
macアドレスによるフィルタリング
公開鍵認証でパスワードなしにログイン
tripwireによるファイル改竄検知
zlib + libpng + gd + mrtgのインストール
SNMPの設定
rp_filter - スプーフィング対策
nmapによるOSの特定
john the ripper
system-config-securitylevel-tui - ファイアウォールの設定
iptables - SNAT
iptables - DNAT
MRTGディレクトリにアクセスできない
iptablesでpingを通す
sudo
/etc/ftpusers でftpのアクセス制限
Ctrl+Alt+deleteキーによる再起動の禁止
sshdがサポートするプロトコルのバージョン
qpopperのバージョンを隠すには
iptablesのルール一覧を表示するには
BINDのバージョン情報を隠すには
iptables 設定 - ルールの削除
tcp_syncookies - SYN Flood攻撃を防ぐには
SSHでログインできるユーザを制限
RedHat 9.0以前のパッケージのアップデート
iplogによるトラフィック監視
suコマンドの制限
rootユーザで直接SSHへログインするのを防ぐ
広告