Chapter 10. Tripwireのインストールと設定
Tripwireを使用すると、重要なシステムファイルとディレクトリに対する変更をすべて検出することで、それらの保全性を確保することができます。 Tripwireの設定オプションには、特定のファイルが変更された場合にE-mailを介して警告を受信する機能や、cronジョブを介した自動保全性チェックがあります。 侵入検知と損害評価にTripwireを使用するとシステムの変更を追跡でき、システムを修復するために復元しなければならないファイルの数が減って、侵入からの回復時間を短縮できます。
Tripwireは、ファイル場所の基準データベース、変更日時、その他のデータに照らしてファイルやディレクトリを比較します。 基準データベースは、既知の安全な状態で、指定されたファイルとディレクトリのスナップショットを取って作成されます。 (セキュリティを万全にするために、システムが侵入されうる状態になる前に、Tripwireをインストールしてこの基準データベースを作成します。) 基準データベースが作成されると、Tripwireは現在のシステムをこれと比較し、変更、追加、削除のいずれかがあれば報告します。
Tripwireの使用方法
次のフローチャートは、Tripwireをどのように使用すべきかを示しています。
Tripwireを正しくインストール、使用、保守するには、以下の手順を実行します。
Tripwireをインストールしてポリシーファイルをカスタマイズする — まだの場合はtripwire RPMをインストールします(the section called RPMインストール手順を参照)。 次に、サンプルの設定ファイル(/etc/tripwire/twcfg.txt)とポリシーファイル(/etc/tripwire/twpol.txt)をカスタマイズし、設定スクリプト(/etc/tripwire/twinstall.sh)を実行します。 詳細はthe section called インストール後の手順を参照してください。
Tripwireデータベースを初期化する — 新規の、署名済みTripwireポリシーファイル(/etc/tripwire/tw.pol)に基づき、監視する重要なシステムファイルのデータベースを構築します。 詳細はthe section called データベースの初期化を参照してください。
Tripwire保全性チェックを実行する — 新しく作成された Tripwireデータベースと実際のシステムファイルを比較し、不足しているファイルや変更されたファイルを検索します。 詳細はthe section called 保全性チェックの実行を参照してください。
Tripwireレポートファイルを検証する — twprintでレポートファイルを表示し、保全性違反がないかチェックします。 詳細はthe section called レポートの表示を参照してください。
適切なセキュリティ対策を実施する — 監視中のファイルが不正に変更されている場合は、バックアップからオリジナルと差し替えるか、プログラムを再インストールします。
Tripwireデータベースファイルを更新する — 意図的にファイルを編集したり特定のプログラムを差し替えた場合など、保全性違反が意図した正当なものである場合は、以降のレポートではそれらの行為をを違反と報告しないようにTripwireのデータベースファイルに指定します。 詳細はthe section called 保全性チェック後のデータベース更新を参照してください。
Tripwireポリシーファイルを更新する — Tripwireで監視するファイルのリストや保全性違反の取り扱い方法を変更するには、サンプルのポリシーファイル(/etc/tripwire/twpol.txt)を更新し、署名済みのコピー(/etc/tripwire/tw.pol)を作成し直し、Tripwireデータベースを更新します。 詳細はthe section called ポリシーファイルの更新を参照してください。
それぞれの手順の詳しい説明は、この章の該当するセクションを参照してください。