CentOS5でTripwireをインストール
January 11, 2008 – 12:17 pmホスト型のIDS(Intrusion Detction System)として定番のTripwire最新版(Tripwire2.4.1.2)を我がサーバ上にインストールした。サーバのセキュリティ確保のため、以前からこれをインストールしなくてはと思いバイナリからのインストールなどを試みてきたがうまく行かず、結局、ソースからのインストールで、我がサーバ上で機能するところまで持ち込むことができた。
TripwireのソースはSOURCEFORGE.NETからダウンロードした(正確に言うと、jaistのftpサイトからのダウンロード)。これを以下の手順でコンパイルし、インストールした。
- ダウンロードファイル(tripwire-2.4.1.2-src.tar.bz2)の解凍: 解凍によりディレクトリtripwire-2.4.1.2-srcができる。
- ./tripwire-2.4.1.2/install/install.cfg上で、TWMAILMETHODをディフォルトのSENDMAILからSMTPに変更(我がサーバでは、MTAとしてPostfixを用いているため、このパラメータの変更を行わずインストールを試みるた場合正常にインストールが終了しなかった)
- ./tripwire-2.4.1.2のディレクトリ上で以下の要領でインストールを実施
./configure –prefix=/usr/local/tripwire sysconfdir=/etc/tripwire
make
make install - ライセンスの許諾(ライセンス内容を読み込んだ後、プロンプトに対し、acceptを入力)
- サイトパスフレーズ、ローカルパスフレーズを入力
- 上記に対する確認入力
以上の手順が完了すると、/etc/tripwire以下にサイトキーsite.keyとローカルキーである (hostname)-local.keyが作成され、加えて二つのバイナリファイルtw.polとtw.cfgが生成されている。これらのバイナリファイルに対応するテキストファイルは、twpol.txt、twcfg.txtで、これらも同時に生成されている。
まず、インストール終了後、最初の作業は、設定ファイルtwcfg.txtの編集だ。 インストール完了とともに生成されたtwcfg.txtには、ポリシーファイル名やレポートファイルの出力先などが保存されている。今回のインストール作業により生成されたtwcfg.txtは、以下のようなものであった。
ROOT =/usr/local/tripwire/sbin
POLFILE =/etc/tripwire/tw.pol
DBFILE =/usr/local/tripwire/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/usr/local/tripwire/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/LinuxServer-local.key
EDITOR =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
MAILMETHOD = SMTP
MAILENCODING = none
SYSLOGREPORTING =false
MAILPROGRAM = /usr/sbin/postfix
最終行のMAILPROGRAMは、我がPCサーバで用いているメールプログラムがpostfixであることから、インストール完了後に付け加えたものだ。以上が今回行ったインストール作業の簡単な手順である。
Tripwireのインストール作業をなんとか完了することができた。しかし、これを実際に運用するとなると、さらに作業が必要となる。最大の難関ポリシーファイルの作成だ。この作業に移る前に、解説記事の定番@IT(http://www.atmarkit.co.jp/)に書かれている手順に従って、テスト用ポリシーファイルを作成しTripwireが正常に機能するかどうか試してみた。
テストの結果、ファイルの変更(改ざん)は正常に検知されているようである。このツール、結構、使えるようだ。しかし、ここで若干の問題が起きた。ファイルの変更通知をメール経由で行うと、メールのヘッダーファイル(送信月日)が文字化けを起こす。Tripwireが吐き出す文字コードが我がシステムと整合していないのだ。受け取ったメールがスパムファイルと判定されてしまう。この問題、すぐには解決しそうにはない。とりあえずIDSの機能は働いたいうことで、ひとまず、今回の作業を終了した。
いよいよ、ポリシーファイルを作成し、運用のフェーズである。しかし、ポリシーファイルを作成するにあたっては、いろいろ考えることが多い。どのファイルを監査対象にするか、どの頻度で、などサーバのリソースとの兼ね合いも考えねばならない。運用を開始した時点で、その顛末を書くことにしよう。
1 Trackback(s)