CentOS5でTripwireをインストール

January 11, 2008 – 12:17 pm

ホスト型のIDS(Intrusion Detction System)として定番のTripwire最新版(Tripwire2.4.1.2)を我がサーバ上にインストールした。サーバのセキュリティ確保のため、以前からこれをインストールしなくてはと思いバイナリからのインストールなどを試みてきたがうまく行かず、結局、ソースからのインストールで、我がサーバ上で機能するところまで持ち込むことができた。

TripwireのソースはSOURCEFORGE.NETからダウンロードした(正確に言うと、jaistのftpサイトからのダウンロード)。これを以下の手順でコンパイルし、インストールした。 

  •  ダウンロードファイル(tripwire-2.4.1.2-src.tar.bz2)の解凍: 解凍によりディレクトリtripwire-2.4.1.2-srcができる。
  •  ./tripwire-2.4.1.2/install/install.cfg上で、TWMAILMETHODをディフォルトのSENDMAILからSMTPに変更(我がサーバでは、MTAとしてPostfixを用いているため、このパラメータの変更を行わずインストールを試みるた場合正常にインストールが終了しなかった)
  • ./tripwire-2.4.1.2のディレクトリ上で以下の要領でインストールを実施
       ./configure –prefix=/usr/local/tripwire sysconfdir=/etc/tripwire
          make
          make install
  •  ライセンスの許諾(ライセンス内容を読み込んだ後、プロンプトに対し、acceptを入力)
  • サイトパスフレーズ、ローカルパスフレーズを入力
  • 上記に対する確認入力

以上の手順が完了すると、/etc/tripwire以下にサイトキーsite.keyとローカルキーである (hostname)-local.keyが作成され、加えて二つのバイナリファイルtw.polとtw.cfgが生成されている。これらのバイナリファイルに対応するテキストファイルは、twpol.txt、twcfg.txtで、これらも同時に生成されている。

まず、インストール終了後、最初の作業は、設定ファイルtwcfg.txtの編集だ。 インストール完了とともに生成されたtwcfg.txtには、ポリシーファイル名やレポートファイルの出力先などが保存されている。今回のインストール作業により生成されたtwcfg.txtは、以下のようなものであった。

ROOT          =/usr/local/tripwire/sbin
POLFILE       =/etc/tripwire/tw.pol
DBFILE        =/usr/local/tripwire/lib/tripwire/$(HOSTNAME).twd
REPORTFILE    =/usr/local/tripwire/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE   =/etc/tripwire/site.key
LOCALKEYFILE  =/etc/tripwire/LinuxServer-local.key
EDITOR        =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL   =3
MAILMETHOD    = SMTP
MAILENCODING = none
SYSLOGREPORTING =false
MAILPROGRAM = /usr/sbin/postfix

最終行のMAILPROGRAMは、我がPCサーバで用いているメールプログラムがpostfixであることから、インストール完了後に付け加えたものだ。以上が今回行ったインストール作業の簡単な手順である。

Tripwireのインストール作業をなんとか完了することができた。しかし、これを実際に運用するとなると、さらに作業が必要となる。最大の難関ポリシーファイルの作成だ。この作業に移る前に、解説記事の定番@IT(http://www.atmarkit.co.jp/)に書かれている手順に従って、テスト用ポリシーファイルを作成しTripwireが正常に機能するかどうか試してみた。

テストの結果、ファイルの変更(改ざん)は正常に検知されているようである。このツール、結構、使えるようだ。しかし、ここで若干の問題が起きた。ファイルの変更通知をメール経由で行うと、メールのヘッダーファイル(送信月日)が文字化けを起こす。Tripwireが吐き出す文字コードが我がシステムと整合していないのだ。受け取ったメールがスパムファイルと判定されてしまう。この問題、すぐには解決しそうにはない。とりあえずIDSの機能は働いたいうことで、ひとまず、今回の作業を終了した。

いよいよ、ポリシーファイルを作成し、運用のフェーズである。しかし、ポリシーファイルを作成するにあたっては、いろいろ考えることが多い。どのファイルを監査対象にするか、どの頻度で、などサーバのリソースとの兼ね合いも考えねばならない。運用を開始した時点で、その顛末を書くことにしよう。


  1. 1 Trackback(s)

  2. Sep 5, 2011: Yama's Memorandum » Blog Archive » 自宅サーバー構築・覚書きリスト

Post a Comment