Linuxファイル整合性監視ツール Tripwire 詳細

簡単

Tripwire は、現在最も有名な Unix ファイルシステム整合性チェックソフトウェアツールで、このソフトウェアが使用する技術の中核は、監視および保持する各ファイルのデジタル署名を生成することです。ファイルの現在のデジタル署名が保存されているデジタル署名と一致しない場合、そのファイルは変更されている必要があります。

ソフトウェアの特徴

システムで発生した変更を監視してチェックすることで、攻撃者をタイムリーに検出することができ、システムの完全性をチェックすることができます。

Tripwire でデータ整合性監視システムを構築します。Tripwireは、ハッカー攻撃やハッカーによる重要なファイルの変更を防御することはできませんが、どのファイルが変更されたかを監視することができます。

トリップワイヤの原理

Tripwire の原理は、Tripwire がインストールされ設定されると、システムデータの現在の状態がデータベースに構築され、ファイルの追加、削除、変更などが行われると、システムデータの現在の状態が常に更新されるデータベースと比較され、どのファイルが追加、削除、変更されたかを判断します。初期データベースは Tripwire がインストールされ設定された後に作成されるため、Tripwire を使用してデータ整合性監視システムを構築するには、サーバをオープンする前、またはオペレーティングシステムをインストールした直後が重要です。

トリップワイヤの基本操作

どのディレクトリとファイルを監視するかは設定ファイルに記述され、変更の詳細なレポートを作成するベースライン・シグネチャ・データベースがあります。

Tripwire を初めて実行すると、シグネチャのベースラインデータベースが作成されます。次に実行すると、tw.config ファイルを使用して新しいシグネチャデータベースが生成されます。その後、2つのデータベースを比較し、ユーザー定義のオプションマスクを実装し、最後に電子メールまたはモニターを介して端末上のユーザーに読みやすいレポートを出力します。

Tripwire には、データベース生成、整合性チェック、データベース更新、対話型更新の 4 つの操作モードがあります。

データベース生成モデルは、将来の比較の基礎となるベースラインデータベースを生成します。

完全性チェックは Tripwire のプライマリモードで、ベースラインデータベースに対して現在のファイル署名をチェックします。

2つの更新モードがあり、ユーザはTripwireデータベースを調整して興味のない結果を排除したり、通常のシステム変更に対応したりすることができます。例えば、ユーザアカウントが追加または削除された場合、Tripwireは/etc/passwdファイルが変更されたことを繰り返し報告することはありません。

報告方法はデフォルトでサポートされています。

シスログ

メール

ほら

注意点として、上記のセーフガードメカニズムの焦点はデータベース内のデジタル署名にあり、データベースが信頼できない場合、すべての作業が失われます。したがって、Tripwire がデータベースを生成した後、このライブラリファイルのセキュリティは非常に重要です。一般的な方法としては、データベースファイル、Tripwire バイナリ、設定ファイルを CD-ROM のような「持ち去ってロックできる」別の品質に保管し、上記のファイルを CD-ROM にコピーし、ライトプロテクトポートを閉じて金庫にロックします。こうすれば、たとえ侵入者がディスクを入手したとしても、何もできません。この方法に加えて、PGPのような暗号化ツールを使って、上記の鍵文書に電子署名を付けるのも良い選択です。

もちろん、管理者自身がいくつかのファイルを変更した場合、Tripwireのデータベースを更新する必要があります。Tripwireはこれを考慮し、4つの動作モードを持っています：データベース生成、整合性チェック、データベース更新。インタラクティブアップデート。管理者がファイルを変更した場合、データベース更新モードを実行して新しいデータベースファイルを生成することができます。

Tripwire は英語のシステムのみをサポートしています。

Tripwire -check は、単一ファイルが 3G より大きい場合にエラーを表示します。

Tripwire インストール

OS: CentOS

# http://.//re/

# sendmail, wget をインストール

yum -y install gcc gcc-c++

ホーム

tar -xf tripwire-2.4.2.2-src.tar.bz2

cd tripwire-2.4.2.2-src

./configure --prefix=/home/tripwire

#make installの際、手動でENTERを入力し、プリアンブルを読んでからacceptを入力し、3セットのパスワードを手動で設定する必要があります。

make && make install

# データベースの作成

/ホーム/tripwire/sbin/tripwire --init

# 検査の実施

/home/tripwire/sbin/tripwire --check

# crontabの設定

クロンタブ -e

00 10 * * * su /home/tripwire/sbin/tripwire --check|mail -s "tripwire report" example@xiaomi.com

その後の延長

複数のトリップワイヤレポートを収集し、アラームメッセージを一元的に処理し、関係者に通知するメールを送信します。

関係者が最後に受け取ったメールは以下の通り。

問題：トリップワイヤレポート
HI,All
ファイル整合性監視ステータス
hostname1  
hostname2  
hostname3  
hostname4  
hostname5  
hostname6  
異常なサーバーのホスト名をコピーし、以下のURLにアクセスして詳細を検索してほしい。
http://...com/tripwire_2013-12-.txt