エンタープライズ:特集 2002/12/06 18:35:00 更新


第5回 Tripwireを運用するときの注意点 (1/4)

 前回まででTripwireの導入からおもなコマンドオプション、整合性チェック、レポートのメール送信など、基本的な使用法について解説した。今回は、Tripwireを運営する際に行っておくべきバックアップや、データベースの表示、キーファイルの変更方法などについて解説する。

Tripwire関連ファイルはバックアップを取ろう

 まず大事なことはTripwireに関連するファイルは必ずバックアップを取っておく必要がある。たとえば、サイトキーファイルやローカルキーファイルがなくなってしまうと、キーファイルで署名されたファイルを閲覧することができなくなってしまう。これは、第三者によるものでなくとも、作業中に誤って削除してしまうという可能性も考慮して、必ずバックアップを取っておこう。また、設定ファイル、ポリシーファイル、Tripwireのデータベースファイルといったファイル類も、アップデートや変更時には常にバックアップを行っておく必要があるだろう。万が一Tripwireデータベースファイルを削除されてしまった場合でも、バックアップからの復旧が可能であれば、Tripwireデータベースファイルを削除された際に、ほかのどのファイルが改ざんされたかチェックできるかもしれない。もちろん、Tripwireデータベースを削除できないように、Tripwireの実行ファイルとTripwireデータベースを、読み込みしか許可していないメディア(CD-R/MOなど)に保存しておくという方法も考えられる。

Tripwireデータベースの確認

 Tripwireのデータベースは、Tripwireデータベース全体や、データベース内の個々のファイルに関する情報を「twprint --print-dbfile」コマンドを利用すれば表示できる。

 データベースの表示により、いつ誰が、アップデート行ったかを知ること(これはレポートファイルからもわかる)や、そしてTripwireがシステム上でチェックを行っている情報について閲覧することができる。

Tripwireデータベースの表示

コマンド:twprint [-m d|--print-dbfile] [options] [object1 [object2...]]

例)Tripwireデータベースの全体の表示
# twprint --print-dbfile | less
Tripwire(R) 2.3.0 Database
Database generated by:        root
Database generated on:        2002年01月03日 09時26分05秒 ←作成された日時
Database last updated on:     2002年01月03日 13時31分46秒 ←アップデート最終日時
===============================================================================
Database Summary:
===============================================================================
Host name:                    linux
Host IP address:              127.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/linux.twd
Command line used:            /usr/sbin/tripwire --init
===============================================================================
Object Summary:
===============================================================================
-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------
     Mode        UID                  Size       Modify Time
     ------      ----------           ---------- ----------
 /
     drwxr-xr-x  root (0)             XXX        XXXXXXXXXXXXXXXXX
 /bin
     drwxr-xr-x  root (0)             4096       2002年01月03日 17時18分12秒
 /bin/arch
     -rwxr-xr-x  root (0)             4330       2002年08月31日 05時00分50秒
 /bin/ash
     -rwxr-xr-x  root (0)             110048     2002年07月18日 08時50分41秒
 /bin/ash.static
     -rwxr-xr-x  root (0)             505685     2002年07月18日 08時50分41秒
 /bin/awk
     lrwxrwxrwx  root (0)             4          2002年01月03日 17時12分53秒
 /bin/basename
     -rwxr-xr-x  root (0)             10680      2002年08月30日 05時56分29秒
 /bin/bash
     -rwxr-xr-x  root (0)             626188     2002年08月24日 05時01分06秒
 /bin/bash2
     lrwxrwxrwx  root (0)             4          2002年01月03日 17時12分27秒
 /bin/bsh
     lrwxrwxrwx  root (0)             3          2002年01月03日 17時14分03秒
 /bin/cat
     -rwxr-xr-x  root (0)             19154      2002年07月01日 18時56分30秒
 /bin/chgrp
     -rwxr-xr-x  root (0)             18136      2002年09月02日 20時21分23秒
 /bin/chmod
     -rwxr-xr-x  root (0)             18072      2002年09月02日 20時21分23秒
 /bin/chown
     -rwxr-xr-x  root (0)             20120      2002年09月02日 20時21分23秒
 /bin/cp
     -rwxr-xr-x  root (0)             49548      2002年09月02日 20時21分23秒
 /bin/cpio
     -rwxr-xr-x  root (0)             64706      2002年06月23日 23時37分35秒
 
〜以下省略〜

データベースから特定のファイルに関する情報を表示する

コマンド:twprint --print-dbfile [object1 [object2...]]

例)データベースから/bin/netstatに関する情報を表示
# /usr/sbin/twprint --print-dbfile /bin/netstat
Object name:  /bin/netstat
Property:               Value:
-------------           -----------
Object Type             Regular File
Device Number           771
File Device Number      0
Inode Number            2501863
Mode                    -rwxr-xr-x
Num Links               1
UID                     root (0)
GID                     root (0)
Size                    100858
Modify Time             2002年08月06日 23時41分48秒
Change Time             2002年01月03日 17時12分09秒
Blocks                  208
CRC32                   AV+NkQ
MD5                     BjhniuQT54Hn/HOBu9hnMV

キーファイルのパスフレーズの設定

 Tripwireのローカルパスフレーズ、サイトパスフレーズともに、類推しにくい強固なパスワードを設定しておくのは当然のことだ。しかし、もしそれぞれのパスフレーズが憶測されてしまった場合、ファイルがすり替えられた(改ざんされた)状態で、Tripwireの関連ファイルがアップデートされてしまう可能性がある。そのような状況に陥ると、整合性のチェックを行っても改ざんされたファイルの変更が報告されることはなく、管理者はシステムが正常に動作しているものと思いこんでしまうだろう。パスフレーズに簡単なパスフレーズを設定していることはないとは思うが、Tripwireの利用を開始する際には、改めて確認しておくとよいだろう。

      | 1 2 3 4 | 次のページ

[TTS,ITmedia]