変更を加えて整合性のチェックを行う |
次に、故意に/var/www/html以下のファイルを変更して、整合性のチェックを行ってみよう。ここでは、index.htmlファイルの一部を書き換えてから、整合性のチェックを行っている。整合性チェック後のレポートを見てみると、index.htmlの変更が違反として報告されているのが分かるだろう。
#tripwire --check Parsing policy file: /etc/tripwire/tw.pol *** Processing Unix File System *** Performing integrity check... Wrote report file: /var/lib/tripwire/report/linux-20021007-103915.twr Tripwire(R) 2.3.0 Integrity Check Report Report generated by:root Report created on:2002年10月07日 10時39分15秒 Database last updated on: Never =================================================================== Report Summary: =================================================================== Host name:linux Host IP address:127.0.0.1 Host ID:None Policy file used: /etc/tripwire/tw.pol Configuration file used:/etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/linux.twd Command line used:tripwire --check =================================================================== Rule Summary: =================================================================== ------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------- Rule Name Severity LevelAddedRemovedModified --------- ---------------------------------- * web-sample33001 (/var/www/html) Total objects scanned:9 Total violations found:1 =================================================================== Object Summary: =================================================================== ------------------------------------------------------------------- # Section: Unix File System ------------------------------------------------------------------- ------------------------------------------------------------------- Rule Name: web-sample (/var/www/html) Severity Level: 33 ------------------------------------------------------------------- Modified: "/var/www/html/index.html"←違反として報告 =================================================================== Error Report: =================================================================== No Errors ------------------------------------------------------------------- *** End of report *** Tripwire 2.3 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY; for details use --version. This is free software which may be redistributed or modified only under certain conditions; see COPYING for details. All rights reserved. Integrity check complete. |
■レポートファイルの参照
整合性のチェックを行った際のレポートファイルは、チェック時に表示されるレポートの冒頭に「Wrote report file: /var/lib/tripwire/report/linux-20021007-103915.twr」という記述があるように、「/var/lib/tripwire/report/」以下に保存されている。レポートファイルは
ホスト名-日付-時間.twr |
という形で保存され、「linux-20021007-103915.twr」は「ホスト名がlinux、作成された日付・時間が2002年10月07日の10時39分15秒である」ということになる。これらの設定(レポートの保存場所・保存名)はTripwireの設定ファイル(tw.cfg)で変更することも可能だ。レポートファイルを参照する際には、twprintコマンドを使用する。レポートファイルの表示は、0〜4までの5段階レベルで表示することが可能で、4が一番詳細な表示、0が簡易表示になる。
■レベル4でのレポートファイル表示
では、実際に先程の「変更を加えて整合性のチェックを行う」で保存されたレポートファイルをレベルを変更して参照してみよう。まず、以下のコマンドを入力して、一番詳細なレベル4で表示してみる。
twprint --print-report --report-level [0〜4を指定] --twrfile [レポートファイルへのパス] |
下記の表示結果を見てみれば分かるように、先ほどと違い、変更が加えられたファイルの中で、チェック内容のうちの「なにが変更されたか」を詳細に知ることができる。変更箇所は「* Size」のように「*」マークが付いて表示されている。
# twprint --print-report --report-level 4 --twrfile /var/lib/tripwire/report/linux-20021007-103915.twr Note: Report is not encrypted. Tripwire(R) 2.3.0 Integrity Check Report Report generated by:root Report created on:2002年10月07日 10時39分15秒 Database last updated on: Never =================================================================== Report Summary: =================================================================== Host name:linux Host IP address:127.0.0.1 Host ID:None Policy file used: /etc/tripwire/tw.pol Configuration file used:/etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/linux.twd Command line used:tripwire --check =================================================================== Rule Summary: =================================================================== ------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------- Rule Name Severity LevelAddedRemovedModified --------- ---------------------------------- * web-sample33001 (/var/www/html) Total objects scanned:9 Total violations found:1 =================================================================== Object Summary: =================================================================== ------------------------------------------------------------------- # Section: Unix File System ------------------------------------------------------------------- ------------------------------------------------------------------- Rule Name: web-sample (/var/www/html) Severity Level: 33 ------------------------------------------------------------------- Modified: "/var/www/html/index.html" =================================================================== Object Detail: =================================================================== ------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------- ------------------------------------------------------------------- Rule Name: web-sample (/var/www/html) Severity Level: 33 ------------------------------------------------------------------- ---------------------------------------- Modified Objects: 1 ---------------------------------------- Modified object name:/var/www/html/index.html Property:ExpectedObserved ------------------------ ----------- Object TypeRegular FileRegular File Device Number56375637 * Inode Number 1310735 1310736 Mode -rw-r--r---rw-r--r-- Num Links1 1 UIDroot (0)root (0) GIDroot (0)root (0) * Size 28512875 * Modify Time2002年10月07日 06時34分54秒 2002年10月07日 10時39分06秒 Blocks 8 8 * CRC32A2wTCTD5rzIB * MD5B7qEH0F67mXyXdYpwq/8CsAgCzbLMgEfCbZ8H6lnousc ↑詳細な内容が記述されている =================================================================== Error Report: =================================================================== No Errors ------------------------------------------------------------------- *** End of report *** Tripwire 2.3 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY; for details use --version. This is free software which may be redistributed or modified only under certain conditions; see COPYING for details. All rights reserved. |
2/4 |