CentOS 5 に Tripwire をインストールする

上記手順でインストールが終わったら、tripwire を実際に使ってみる。

ここでは詳細な設定は後にして、とりあえず動くことを確認する。

準備として、署名したポリシーファイルを作成する。

# twadmin --create-polfile -S /usr/local/etc/site.key /usr/local/etc/twpol.txt Please enter your site passphrase: Wrote policy file: /usr/local/etc/tw.pol #

次に、署名した設定ファイルを作成する。

# twadmin --create-cfgfile -S /usr/local/etc/site.key /usr/local/etc/twcfg.txt Please enter your site passphrase: Wrote configuration file: /usr/local/etc/tw.cfg #

次に、tripwire のデータベースを初期化する。

# tripwire --init Please enter your local passphrase: Parsing policy file: /usr/local/etc/tw.pol Generating the database... *** Processing Unix File System *** The object: "/misc" is on a different file system...ignoring. The object: "/net" is on a different file system...ignoring. The object: "/sys" is on a different file system...ignoring. ### Warning: File system error. ### Filename: /usr/local/sysinfo ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /usr/X11R6/lib ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /etc/mail/statistics ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... The object: "/var/lib/nfs/rpc_pipefs" is on a different file system...ignoring. ### Warning: File system error. ### Filename: /var/lost+found ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /cdrom ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /floppy ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /initrd ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /home/lost+found ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... Wrote database file: /usr/local/lib/tripwire/test.example.twd The database was successfully generated. #

初期化までが済んだら、tripwire を使って実際にシステムをチェックしてみる。

# tripwire --check Parsing policy file: /usr/local/etc/tw.pol *** Processing Unix File System *** Performing integrity check... The object: "/misc" is on a different file system...ignoring. The object: "/net" is on a different file system...ignoring. The object: "/sys" is on a different file system...ignoring. ### Warning: File system error. ### Filename: /usr/local/sysinfo ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /usr/X11R6/lib ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /etc/mail/statistics ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... The object: "/var/lib/nfs/rpc_pipefs" is on a different file system...ignoring. ### Warning: File system error. ### Filename: /var/lost+found ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /cdrom ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /floppy ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /initrd ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... ### Warning: File system error. ### Filename: /home/lost+found ### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ### Continuing... Wrote report file: /usr/local/lib/tripwire/report/test.example-20071127-073307.twr Open Source Tripwire(R) 2.4.1 Integrity Check Report Report generated by: root Report created on: 2007年11月27日 07時33分07秒 Database last updated on: Never =============================================================================== Report Summary: =============================================================================== Host name: test.example Host IP address: 127.0.0.1 Host ID: None Policy file used: /usr/local/etc/tw.pol Configuration file used: /usr/local/etc/tw.cfg Database file used: /usr/local/lib/tripwire/test.example.twd Command line used: tripwire --check =============================================================================== Rule Summary: =============================================================================== ------------------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- * Tripwire Data Files 0 1 0 0 * Monitor Filesystems 0 0 0 3 User Binaries and Libraries 0 0 0 0 Tripwire Binaries 0 0 0 0 OS Binaries and Libraries 0 0 0 0 * Temporary Directories 0 1 0 0 Global Configuration Files 0 0 0 0 System Boot Changes 0 0 0 0 RPM Checksum Files 0 0 0 0 OS Devices and Misc Directories 0 0 0 0 OS Boot Files and Mount Points 0 0 0 0 Root Directory and Files 0 0 0 0 Total objects scanned: 125585 Total violations found: 5 =============================================================================== Object Summary: =============================================================================== ------------------------------------------------------------------------------- # Section: Unix File System ------------------------------------------------------------------------------- ------------------------------------------------------------------------------- Rule Name: Monitor Filesystems (/) Severity Level: 0 ------------------------------------------------------------------------------- Modified: "/" ------------------------------------------------------------------------------- Rule Name: Tripwire Data Files (/usr/local/lib/tripwire) Severity Level: 0 ------------------------------------------------------------------------------- Added: "/usr/local/lib/tripwire/test.example.twd.bak" ------------------------------------------------------------------------------- Rule Name: Monitor Filesystems (/home) Severity Level: 0 ------------------------------------------------------------------------------- Modified: "/home/nadmin/.gconfd" "/home/nadmin/.gconfd/saved_state" ------------------------------------------------------------------------------- Rule Name: Temporary Directories (/tmp) Severity Level: 0 ------------------------------------------------------------------------------- Added: "/tmp/tripwire5-3.txt" =============================================================================== Error Report: =============================================================================== ------------------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------------------- 1. File system error. Filename: /usr/local/sysinfo \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 2. File system error. Filename: /usr/X11R6/lib \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 3. File system error. Filename: /etc/mail/statistics \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 4. File system error. Filename: /var/lost+found \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 5. File system error. Filename: /cdrom \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 6. File system error. Filename: /floppy \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 7. File system error. Filename: /initrd \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） 8. File system error. Filename: /home/lost+found \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\（省略） ------------------------------------------------------------------------------- *** End of report *** Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY; for details use --version. This is free software which may be redistributed or modified only under certain conditions; see COPYING for details. All rights reserved. Integrity check complete. #

デフォルトのチェック対象に対してチェックが実施され結果が簡単に標準出力に出力された。

tripwire のデータベースを初期化した後に変更されたファイルや追加されたファイルが分かる。

上記コマンドにより詳細なレポートも出力されているので詳しくはそちらを参照する。

作成されたレポートの見方はこちら。

CentOS 5 で Tripwire のレポートを見る

この 「tripwire --check」 コマンドを cron などで定期的に実行すれば、
定期的にファイルの変更や追加などを監視しシステムの完全性チェックを行うことができる。

ちなみに、「File system error.」 となっているものは、
デフォルトの 「/usr/local/etc/twpol.txt」 にチェック対象として記載されているが、
実行した CentOS 5 には存在しなかったためエラーとなっている。

デフォルトのポリシーファイルの内容はこちら。

CentOS 5 にインストールした Tripwire のデフォルトポリシー ( twpol.txt )