Tripwire

改竄検知アプリケーションtripwireを扱っていきます。

準備

便利パッケージインストール

  • perlはtripwireで利用

epleリポジトリインストール

tripwireインストール

初期設定

  • サイトキー
    • サイト全体の設定ファイルやポリシーファイルの暗号化や署名に利用される
    • /etc/tripwire/site.keyが生成される
  • ローカルキー
    • ローカルデータベースの更新、レポートファイルの保護に利用される
    • /etc/tripwire/ホスト名-local.keyが生成される

REPORTLEVELを4にしておく

  • 報告レベル4が最大

ファイル内容

設定ファイルを生成

  • tripwire-setup-keyfilesコマンドで生成したパスワードを入力

ポリシー設定

デフォルトだと不要ディレクトリなどをスキャンしてしまうようなので、それらを除外するポリシー設定を投入する

twpolmake.pl

参考:http://centossrv.com/tripwire.shtml

ポリシーの作成

ポリシーから設定反映

データベース作成(環境によっては2,3分かかる)

動作確認

チェック実行

わざとファイル改ざんを発生させる

再度、チェック実行

チェックレポート出力ディレクトリ

チェックレポートを指定して、データベースを更新

おまけ

レポート参照コマンド

特定ファイルの除外

  • 「!/root/testfile ;」を追記する

ポリシー更新

付録

動作している仮想マシンのovaファイルです。うまくいかない場合、こちらをインポートしていただき設定値をご確認いただければと思います!

https://vamdemic.sharepoint.com/:f:/s/vamdemicsystem/Ei2CjcKTrGRPvGfwMMxdFgwBWaJwvzxyR5bOM8AedHZb-A?e=SC9oS5
pass: dnsmasq

参考サイト

https://www.server-world.info/query?os=CentOS_8&p=tripwire