2008年11月02日(日)
ファイル改竄チェック・ツール Tripwireの導入 [タイの電脳事情 電脳街情報]
ファイル改竄チェック・ツール Tripwireを導入しました。Tripwireとは一種のホスト型IDSのようです。CentosのレポジトリにはTripwireパッケージが置いていないので、ソースをダウンロードして
./configure
make
make install
./configureを実行した時、g++がないと言われたので、yum で必要なパッケージを導入して上記のコマンドを再度実行し直しました。
インストール直後の設定内容をtwadmin -m -fで確認し、必要に応じてtwcfg.txtを修正して、twadmin -m F -S sitek.key twcfg.txt で twcfg.confを新しく作り直しました。
ちなみにtwcfg.txtの主な変更内容は下記の通りです。
MAILMETHOD=SMTP (旧値はSENDMAILでした)
MAILPROGRAM=メール送信プログラムへのフルパス
次はチェックルールの作成とデータベースの初期化。
tw.pol.txtファイルにチェックルールを記述し、twadmin -m P -c tw.cfg twpol.txt コマンドで tw.polを作成し、さらにtripwire --initでデータベースを初期化しました。
これで一通りの設定関連作業が終了です。
ファイルの整合性を確認したい場合、tripwire --checkを実行すればいいです。オプション -Mを指定して実行する場合、tw.polに記載してあるメールアドレスに実行結果が自動的に送信されます。またcrontabに登録しておけば、Tripwireの定期実行が行えるので、一々コマンドを打たなくても便利です。
Posted by ぷーちゃん at 10時44分