トップ  > サーバ設定:運用  > サーバ公開前のセキュリティ対策  > ファイル改竄検知システム導入(Tripwire)

ファイル改竄検知システム導入(Tripwire) (最終更新日:2012/09/17)

サーバのファイル改ざんを検知するソフトウェアをインストールします。

インストール時のファイル状態をデータベース化し、そのデータベースと現状のファイルを比較することで、ファイルの追加/変更/削除を検知する、Tripwireをインストールします。

Tripwireはホスト型IDS(Intrusion Detection System:不正侵入検知システム)です。

なおインストール時のファイル状態をデータベース化する為、OSをインストールしたばかりのきれいな状態でインストールするのが望ましいです。

Tripwireインストール

[root@sv ~]# wget http://jaist.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.4.2.2-src.tar.bz2 ← tripwireダウンロード
※最新版はこちらで確認。(2012/09/17時点。tripwire-2.4.2.2-src.tar.bz2)

[root@sv ~]# tar jxvf tripwire-2.4.2.2-src.tar.bz2 ← tripwire解凍

[root@sv ~]# cd tripwire-2.4.2.2-src ← tripwireディレクトへ移動

[root@sv tripwire-2.4.2.2-src]# ./configure --prefix=/usr/local/tripwire sysconfdir=/etc/tripwire ← 環境に応じたMakefile作成
checking build system type... x86_64-unknown-linux-gnu
・
・
・
config.status: executing depfiles commands

[root@sv tripwire-2.4.2.2-src]# make ← Makefileを基にソースコードをコンパイル
make  all-recursive
・
・
・
make[1]: ディレクトリ `/root/tripwire-2.4.2.2-src' から出ます

[root@sv tripwire-2.4.2.2-src]# make install ← makeで生成されたファイルなどをディレクトリにコピー(インストール)
Making install in man
・
・
・
しばらくすると

Press ENTER to view the License Agreement. ← 空ENTER

ライセンスが表示されるのでSPACEキー押下で全部読みます

Please type "accept" to indicate your acceptance of this
license agreement. [do not accept] accept ← accept入力

Continue with installation? [y/n] y ← y入力

Enter the site keyfile passphrase: ← 任意のサイトパスフレーズを入力(非表示)
Verify the site keyfile passphrase: ← 任意のサイトパスフレーズを入力確認(非表示)
Generating key (this may take several minutes)...Key generation complete.

Enter the local keyfile passphrase: ← 任意のローカルパスフレーズを入力(非表示)
Verify the local keyfile passphrase: ← 任意のローカルパスフレーズを入力確認(非表示)
Generating key (this may take several minutes)...Key generation complete.

Creating signed configuration file...
Please enter your site passphrase:  ← 先ほどのサイトパスフレーズを入力(非表示)
Wrote configuration file: /etc/tripwire/tw.cfg

Creating signed policy file...
Please enter your site passphrase:  ← 先ほどのサイトパスフレーズを入力(非表示)
Wrote policy file: /etc/tripwire/tw.pol

The installation succeeded.

Please refer to 
for release information and to the printed user documentation
for further instructions on using Tripwire 2.4 Open Source. ← インストール完了

[root@sv tripwire-2.4.2.2-src]# cd ← カレントディレクトリへ戻る

[root@sv ~]# rm -rf tripwire-2.4.2.2-src ← tripwireディレクトリを削除

[root@sv ~]# mv tripwire-2.4.2.2-src.tar.bz2 app/ ← ダウンロードしたファイルは念のため保存

[root@sv ~]# echo PATH=$PATH:/usr/local/tripwire/sbin >> .bashrc ; source .bashrc ← tripwire実行ファイル格納ディレクトリへパスを通す

Tripwire初期設定

1.Tripwire設定
[root@sv ~]# vi /etc/tripwire/twcfg.txt ← Tripwire設定ファイル編集
LOOSEDIRECTORYCHECKING =false
	↓
LOOSEDIRECTORYCHECKING =true ← ファイル変更時に所属ディレクトリの変更を通知しないようにする

REPORTLEVEL   =3
	↓
REPORTLEVEL   =4 ← 一番詳細なレポートにする

[root@sv ~]# twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt ← 編集したTripwire設定ファイルから暗号署名化したファイルを作成
Please enter your site passphrase: ← サイトパスフレーズを入力(非表示)
Wrote configuration file: /etc/tripwire/tw.cfg

[root@sv ~]# rm -f /etc/tripwire/twcfg.txt ← 基のTripwire設定ファイルを削除

再設定等で設定ファイルが必要な場合
[root@sv ~]# twadmin -m f -c /etc/tripwire/tw.cfg > /etc/tripwire/twcfg.txt
2.ポリシーファイル設定

Tripwireは、ポリシーファイルを基に作成したデータベースと、現在のファイル状態を比較することにより、ファイルが変更されたかどうかを検知しますが、デフォルトのポリシーファイルでは存在しないファイルのチェックが有効になっていたり、逆に存在するファイルのチェックが無効になっていたりするため、Perlスクリプトによりポリシーファイルを最適化します。

[root@sv ~]# vi /etc/tripwire/twpolmake.pl
ここから----------
#!/usr/bin/perl
# Tripwire Policy File customize tool
# ----------------------------------------------------------------
# Copyright (C) 2003 Hiroaki Izumi
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
# ----------------------------------------------------------------
# Usage:
#    perl twpolmake.pl {Pol file}
# ----------------------------------------------------------------
#
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while (<POL>) {
    chomp;
    if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
        $myhost = `hostname` ; chomp($myhost) ;
        if ($thost ne $myhost) {
            $_="HOSTNAME=\"$myhost\";" ;
        }
    }
    elsif ( /^{/ ) {
        $INRULE=1 ;
    }
    elsif ( /^}/ ) {
        $INRULE=0 ;
    }
    elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
        $ret = ($sharp =~ s/\#//g) ;
        if ($tpath eq '/sbin/e2fsadm' ) {
            $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
        }
        if (! -s $tpath) {
            $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
        }
        else {
            $_ = "$sharp$tpath$cond" ;
        }
    }
    print "$_\n" ;
}
close(POL) ;
----------ここまで

[root@sv ~]# perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new ← ポリシーファイル最適化

[root@sv ~]# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new ← 最適化したポリシーファイルを基にポリシーファイル(暗号署名版)作成
Please enter your site passphrase: ← サイトパスフレーズを入力(非表示)
Wrote policy file: /etc/tripwire/tw.pol

[root@sv ~]# rm -f /etc/tripwire/twpol.txt* ← ポリシーファイル(テキスト版)削除

再設定等でポリシーファイル(テキスト版)が必要な場合
[root@sv ~]# twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key > /etc/tripwire/twpol.txt
3.データベース作成
[root@sv ~]# tripwire -m i -s -c /etc/tripwire/tw.cfg ← Tripwireデータベース作成
Please enter your local passphrase:  ← ローカルパスフレーズを入力(非表示)

Tripwire動作確認

[root@sv ~]# tripwire -m c -s -c /etc/tripwire/tw.cfg ← Tripwireチェック実行
Open Source Tripwire(R) 2.4.2.2 Integrity Check Report

Report generated by:          root
Report created on:            2012年09月06日 16時55分06秒
Database last updated on:     Never

===============================================================================
Report Summary:
===============================================================================

Host name:                    sv.rx-93dff.net
Host IP address:              Unknown IP
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /usr/local/tripwire/lib/tripwire/sv.rx-93dff.net.twd
Command line used:            tripwire -m c -s -c /etc/tripwire/tw.cfg 

===============================================================================
Rule Summary: 
===============================================================================

-------------------------------------------------------------------------------
  Section: Unix File System
-------------------------------------------------------------------------------

  Rule Name                       Severity Level    Added    Removed  Modified 
  ---------                       --------------    -----    -------  -------- 
* Tripwire Data Files             0                 1        0        0        
  Monitor Filesystems             0                 0        0        0        
  User Binaries and Libraries     0                 0        0        0        
  Tripwire Binaries               0                 0        0        0        
  OS Binaries and Libraries       0                 0        0        0        
  Temporary Directories           0                 0        0        0        
  Global Configuration Files      0                 0        0        0        
  System Boot Changes             0                 0        0        0        
  RPM Checksum Files              0                 0        0        0        
  OS Boot Files and Mount Points  0                 0        0        0        
  OS Devices and Misc Directories 0                 0        0        0        
  Root Directory and Files        0                 0        0        0        

Total objects scanned:  59967
Total violations found:  1

===============================================================================
Object Summary: 
===============================================================================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Rule Name: Tripwire Data Files (/usr/local/tripwire/lib/tripwire)
Severity Level: 0
-------------------------------------------------------------------------------

Added:
"/usr/local/tripwire/lib/tripwire/sv.rx-93dff.net.twd"

===============================================================================
Error Report: 
===============================================================================

No Errors

-------------------------------------------------------------------------------
*** End of report ***

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.

[root@sv ~]# echo test > test.txt ← 試しにファイルを作成する

[root@sv ~]# tripwire -m c -s -c /etc/tripwire/tw.cfg ← Tripwireチェック再実行
Open Source Tripwire(R) 2.4.2.2 Integrity Check Report

Report generated by:          root
Report created on:            2012年09月06日 16時56分24秒
Database last updated on:     Never

===============================================================================
Report Summary:
===============================================================================

Host name:                    sv.rx-93dff.net
Host IP address:              Unknown IP
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /usr/local/tripwire/lib/tripwire/sv.rx-93dff.net.twd
Command line used:            tripwire -m c -s -c /etc/tripwire/tw.cfg 

===============================================================================
Rule Summary: 
===============================================================================

-------------------------------------------------------------------------------
  Section: Unix File System
-------------------------------------------------------------------------------

  Rule Name                       Severity Level    Added    Removed  Modified 
  ---------                       --------------    -----    -------  -------- 
* Tripwire Data Files             0                 1        0        0        
  Monitor Filesystems             0                 0        0        0        
  User Binaries and Libraries     0                 0        0        0        
  Tripwire Binaries               0                 0        0        0        
  OS Binaries and Libraries       0                 0        0        0        
  Temporary Directories           0                 0        0        0        
  Global Configuration Files      0                 0        0        0        
  System Boot Changes             0                 0        0        0        
  RPM Checksum Files              0                 0        0        0        
  OS Boot Files and Mount Points  0                 0        0        0        
  OS Devices and Misc Directories 0                 0        0        0        
* Root Directory and Files        0                 1        0        0        

Total objects scanned:  59968
Total violations found:  2 ← 変更を検知した

===============================================================================
Object Summary: 
===============================================================================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Rule Name: Tripwire Data Files (/usr/local/tripwire/lib/tripwire)
Severity Level: 0
-------------------------------------------------------------------------------

Added:
"/usr/local/tripwire/lib/tripwire/sv.rx-93dff.net.twd"

-------------------------------------------------------------------------------
Rule Name: Root Directory and Files (/root)
Severity Level: 0
-------------------------------------------------------------------------------

Added:
"/root/test.txt"

===============================================================================
Error Report: 
===============================================================================

No Errors

-------------------------------------------------------------------------------
*** End of report ***

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.

[root@sv ~]# rm -f test.txt ← テストファイル削除

過去のチェック結果を調べる場合
[root@sv ~]# twprint -m r -c /etc/tripwire/tw.cfg -r /usr/local/tripwire/lib/tripwire/report/sv.rx-93dff.net-YYYYMMDD-HHMMSS.twr

Tripwire自動実行設定

[root@sv ~]# vi tripwire.sh ← Tripwire自動実行スクリプト作成
ここから----------
#!/bin/bash

PATH=/usr/sbin:/usr/bin:/bin:/usr/local/tripwire/sbin

# パスフレーズ設定
LOCALPASS=xxxxxxxx ← インストール時設定したローカルパスフレーズ
SITEPASS=xxxxxxxx ← インストール時設定したサイトパスフレーズ

cd /etc/tripwire

# Tripwireチェック実行
tripwire -m c -s -c tw.cfg|mail -s "Tripwire(R) Integrity Check Report in `hostname`" root

# ポリシーファイル最新化
twadmin -m p -c tw.cfg -p tw.pol -S site.key > twpol.txt
perl twpolmake.pl twpol.txt > twpol.txt.new
twadmin -m P -c tw.cfg -p tw.pol -S site.key -Q $SITEPASS twpol.txt.new > /dev/null
rm -f twpol.txt* *.bak

# データベース最新化
rm -f /usr/local/tripwire/lib/tripwire/*.twd*
tripwire -m i -s -c tw.cfg -P $LOCALPASS
----------ここまで

[root@sv ~]# chmod 700 tripwire.sh ← Tripwire定期自動実行スクリプトへ実行権限付加

[root@sv ~]# echo "0 3 * * * root /root/tripwire.sh" > /etc/cron.d/tripwire ← Tripwire定期自動実行設定追加
※毎日3:00にTripwire定期実行スクリプトを実行する(サーバのスペックが十分ならば、/etc/cron.daily/に移動してもOK)