第 11章Tripwireのインストールと設定
Tripwireを使用すると、重要なシステムファイルとディレクトリに対する変更をすべて検出することで、それらの保全性を確保することができます。Tripwireの設定オプションには、特定のファイルが変更された場合に電子メールを介して警告を受信する機能や、cronジョブを介した自動保全性チェックがあります。侵入検知と損害評価にTripwireを使用するとシステムの変更を追跡でき、システムを修復するために復元しなければならないファイルの数が減って、侵入からの回復時間を短縮できます。
Tripwireは、ファイル場所の基準データベース、変更日時、その他のデータに照らしてファイルやディレクトリを比較します。基準データベースは、既知の安全な状態で、指定されたファイルとディレクトリのスナップショットを取って作成されます(セキュリティを万前にするために、システムが侵入されうる状態になる前に、Tripwireをインストールして基準データベースを作成します)。基準データベースが作成されると、Tripwireは現在のシステムをこれと比較し、変更、追加、削除のいずれかがあれば報告します。
 | 警告 |
|---|---|
貴重なツールを使用中にシステムの安全な状態を監査する場合、TripwireはRed Hat, Inc.でサポートされません。サポートオプションについては、Tripwire, Inc.,(http://www.tripwire.com)に連絡してください。 |
Tripwireの使用方法
次のフローチャートは、Tripwireをどのように使用すべきかを示しています。
Tripwireを正しくインストール、使用、保守するには、以下の手順を実行します。
Tripwireをインストールしてポリシーファイルをカスタマイズするまだの場合はtripwireのRPMをインストールします(RPMインストール手順項を参照)。次に、サンプルの設定ファイル(/etc/tripwire/twcfg.txt)とポリシーファイル(/etc/tripwire/twpol.txt)をカスタマイズし、設定スクリプト(/etc/tripwire/twinstall.sh)を実行します。詳細はインストール後の手順項を参照してください。
Tripwireデータベースを初期化する新規の、署名済みTripwireポリシーファイル(/etc/tripwire/tw.pol)に基づき、監視する重要なシステムファイルのデータベースを構築します。詳細はデータベースの初期化項を参照してください。
Tripwire保全性チェックを実行する新しく作成されたTripwireデータベースと実際のシステムファイルを比較し、不足しているファイルや変更されたファイルを検索します。詳細は保全性チェックの実行項を参照してください。
Tripwireレポートファイルを検証するtwprintでレポートファイルを表示し、保全性違反がないかチェックします。詳細はレポートの表示項を参照してください。
適切なセキュリティ対策を実施する監視中のファイルが不正に変更されている場合は、バックアップからオリジナルと差し替えるか、プログラムを再インストールします。
Tripwireデータベースファイルを更新する意図的にファイルを編集したり特定のプログラムを差し替えた場合など、保全性違反が意図した正当なものである場合は、以降のレポートではそれらの行為をを違反と報告しないようにTripwireのデータベースファイルに指定します。詳細は保全性チェック後のデータベース更新項を参照してください。
Tripwireポリシーファイルを更新するTripwireで監視するファイルの一覧や保全性違反の取り扱い方法を変更するには、サンプルのポリシーファイル(/etc/tripwire/twpol.txt)を更新し、署名済みのコピー(/etc/tripwire/tw.pol)を作成し直し、Tripwireデータベースを更新します。詳細はポリシーファイルの更新項を参照してください。
それぞれの手順の詳しい説明は、この章の該当するセクションを参照してください。