ITmedia エンタープライズ

第4回：レポートの送信とCronを利用した定期的な整合性のチェック (1/5)

　もし、何者かによってサーバのファイルが改ざんされてしまった場合、それを早期に知り、元の状態へ復旧しなければならない。Tripwireでは、整合性のチェックを行った結果（レポート）をメールで送信することが可能だ。そこで、今回はTripwireの整合性チェック時に、管理者宛にメールを送信するための設定について解説しよう

整合性チェックの結果をメールで送信する

　Tripwireには、整合性のチェックを行った際の結果を、メールで送信するための設定項目がある。たとえば、Cronを利用してTripwireの整合性チェックを定期的に行わせ、その結果をメールで送信させるように設定しておけば、万が一サーバのファイルに変更が発見された場合でも、早期に復旧などの対策を講じることができるだろう。

　Tripwireからメールでレポートを送信するためには、整合性チェック時にコマンドオプションで指定すればよい。ただし、その前にTripwireの設定ファイル（twcfg）にある、メール送信に関する項目を、環境に合わせて編集しておく必要がある。まずはじめに、メール送信の設定を中心とした設定ファイルを編集してみよう。

Tripwire設定ファイルの編集

　Tripwire設定ファイルの項目内容については、第1回「Tripwireを導入する」に記載されているが、ここではレポートのメール送信に関する設定を中心に、もう少し詳しく解説していく。

　第3回で、ポリシーファイルのクリアテキストは削除してしまい、必要な時はtwadminコマンドで出力すればよいと解説したが、それと同様に設定ファイルのクリアテキスト（デフォルトでは/etc/tripwire/twcfg.txt）を削除してしまった場合でも、下記のようにtwadminコマンドを利用して、twcfgファイルを参照したり、クリアテキストファイルとして出力することができる。ここでは、現在の設定ファイル（twcfg）をクリアテキストとして出力し、これを編集していくことにする。

twcfgファイルを参照する

twcfgファイルをクリアテキストへ出力する

　では、設定ファイルをクリアテキストに出力して編集していこう。

# cd /etc/tripwire
# twadmin --print-cfgfile > twcfg.txt
# vi twcfg.txt
ROOT                   =/usr/sbin
POLFILE                =/etc/tripwire/tw.pol
DBFILE                 =/var/lib/tripwire/(HOSTNAME).twd
REPORTFILE             =/var/lib/tripwire/report/(HOSTNAME)-(DATE).twr
SITEKEYFILE            =/etc/tripwire/site.key
LOCALKEYFILE           =/etc/tripwire/(HOSTNAME)-local.key
EDITOR                 =/bin/vi
LATEPROMPTING          =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS       =true
EMAILREPORTLEVEL       =3
REPORTLEVEL            =3
MAILMETHOD             =SENDMAIL
SYSLOGREPORTING        =false
MAILPROGRAM            =/usr/sbin/sendmail -oi -t

　上記のtwcfg.txtは、Tripwireをインストールした際のデフォルトのtwcfg.txtと同じ内容が記述されている。

　　　　　 | 1 2 3 4 5 | 次のページ

[TTS，ITmedia]