エンタープライズ:特集 2002/11/22 14:29:00 更新


第4回:レポートの送信とCronを利用した定期的な整合性のチェック (1/5)

 もし、何者かによってサーバのファイルが改ざんされてしまった場合、それを早期に知り、元の状態へ復旧しなければならない。Tripwireでは、整合性のチェックを行った結果(レポート)をメールで送信することが可能だ。そこで、今回はTripwireの整合性チェック時に、管理者宛にメールを送信するための設定について解説しよう

整合性チェックの結果をメールで送信する

 Tripwireには、整合性のチェックを行った際の結果を、メールで送信するための設定項目がある。たとえば、Cronを利用してTripwireの整合性チェックを定期的に行わせ、その結果をメールで送信させるように設定しておけば、万が一サーバのファイルに変更が発見された場合でも、早期に復旧などの対策を講じることができるだろう。

 Tripwireからメールでレポートを送信するためには、整合性チェック時にコマンドオプションで指定すればよい。ただし、その前にTripwireの設定ファイル(twcfg)にある、メール送信に関する項目を、環境に合わせて編集しておく必要がある。まずはじめに、メール送信の設定を中心とした設定ファイルを編集してみよう。

Tripwire設定ファイルの編集

 Tripwire設定ファイルの項目内容については、第1回「Tripwireを導入する」に記載されているが、ここではレポートのメール送信に関する設定を中心に、もう少し詳しく解説していく。

 第3回で、ポリシーファイルのクリアテキストは削除してしまい、必要な時はtwadminコマンドで出力すればよいと解説したが、それと同様に設定ファイルのクリアテキスト(デフォルトでは/etc/tripwire/twcfg.txt)を削除してしまった場合でも、下記のようにtwadminコマンドを利用して、twcfgファイルを参照したり、クリアテキストファイルとして出力することができる。ここでは、現在の設定ファイル(twcfg)をクリアテキストとして出力し、これを編集していくことにする。

twcfgファイルを参照する

# twadmin --print-cfgfile

twcfgファイルをクリアテキストへ出力する

# twadmin --print-cfgfile > twcfg.txt

 では、設定ファイルをクリアテキストに出力して編集していこう。

# cd /etc/tripwire
# twadmin --print-cfgfile > twcfg.txt
# vi twcfg.txt
ROOT                   =/usr/sbin
POLFILE                =/etc/tripwire/tw.pol
DBFILE                 =/var/lib/tripwire/(HOSTNAME).twd
REPORTFILE             =/var/lib/tripwire/report/(HOSTNAME)-(DATE).twr
SITEKEYFILE            =/etc/tripwire/site.key
LOCALKEYFILE           =/etc/tripwire/(HOSTNAME)-local.key
EDITOR                 =/bin/vi
LATEPROMPTING          =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS       =true
EMAILREPORTLEVEL       =3
REPORTLEVEL            =3
MAILMETHOD             =SENDMAIL
SYSLOGREPORTING        =false
MAILPROGRAM            =/usr/sbin/sendmail -oi -t

 上記のtwcfg.txtは、Tripwireをインストールした際のデフォルトのtwcfg.txtと同じ内容が記述されている。

      | 1 2 3 4 5 | 次のページ

[TTS,ITmedia]



Special

- PR -

Special

- PR -