エンタープライズ:特集 2002/09/30 00:00:00 更新


第2回:ポリシーファイルの作成と編集 (3/3)

サンプルポリシーファイルを参考にポリシーを作成する

 次にサンプルポリシーファイルを開き、その中身を簡単に見ていこう。

 冒頭部分は命令が記述されている。@@section GLOBALにはポリシーファイル全体への各変数の定義が記述されている。たとえば、グローバルセクションの中で「TWSKEY="/etc/tripwire";」とパスが記述されているが、これはつまり、以下のルールに出てくる「(TWSKEY)」は「/etc/tripwire」であるということを定義している。

@@section GLOBAL
TWROOT=/usr/sbin;
TWBIN=/usr/sbin;
TWPOL="/etc/tripwire";
TWDB="/var/lib/tripwire";
TWSKEY="/etc/tripwire";
TWLKEY="/etc/tripwire";
TWREPORT="/var/lib/tripwire/report";
HOSTNAME=localhost;

 @@sectionの「FS」はUNIXシステムで利用できるもので、Windows用のポリシーと区別するために用意されている。@@section FSにも同様に変数が定義されている。

@@section FS
SEC_CRIT   = (IgnoreNone)-SHa ; # Critical files that cannot change
SEC_SUID   = (IgnoreNone)-SHa ; # Binaries with the SUID or SGID flags set
SEC_BIN    = (ReadOnly) ;    # Binaries that should not change
SIG_LOW    = 33 ;         # Non-critical files that are of minimal se
curity impact
SIG_MED    = 66 ;         # Non-critical files that are of significan
t security impact
SIG_HI    = 100 ;        # Critical files that are significant point
s of vulnerability

 このほかにも命令として@@ifhostや@@printなどがある。

例)サーバ名がhogeであれば、/tmp/test1.txt -> (ReadOnly);を実行し、ほかのサーバ名の場合は/tmp/test2.txt -> (ReadOnly);を実行する。

@@ifhost hoge
/tmp/test1.txt -> (ReadOnly);
@@else
/tmp/test2.txt -> (ReadOnly);
@@endif

 はじめのルールとして、Tripwire Binariesのルールが出てくるが、@@sectionで定義された変数と、これまでの解説を参考にすれば、ルールがどのような内容になっているかが、なんとなくは理解できるだろう。

# Tripwire Binaries
(
 rulename = "Tripwire Binaries",
 severity = (SIG_HI)
)
{
 (TWBIN)/siggen -> (SEC_BIN) ;
 (TWBIN)/tripwire -> (SEC_BIN) ;
 (TWBIN)/twadmin -> (SEC_BIN) ;
 (TWBIN)/twprint -> (SEC_BIN) ;
}

変数に定義されたものを代入すれば下記のようになる

(
 rulename = "Tripwire Binaries",
 severity = 100
)
{
 /user/sbin/siggen -> (ReadOnly) ;
 /user/sbin/tripwire -> (ReadOnly) ;
 /user/sbin/twadmin -> (ReadOnly) ;
 /user/sbin/twprint -> (ReadOnly) ;
}

ポリシーファイルの作成・編集まとめ

 あとは、サンプルポリシーファイルを参考にシステム環境にあわせて、必要なポリシーファイルを作成、編集していく。足りないと思われるものは付け足すなどして、ルールの追加、編集、削除を行っていこう。次回はレポートの閲覧やコマンドのオプションなどについて解説していく予定だ。


バックナンバー

第5回 Tripwireを運用するときの注意点
[2002.12.6 UP]  前回まででTripwireの導入からおもなコマンドオプション、整合性チェック、レポートのメール送信など、基本的な使用法について解説した。今回は、Tripwireを運営する際に行っておくべきバックアップや、データベースの表示、キーファイルの変更方法などについて解説する

第4回 レポートの送信とCronを利用した定期的な整合性のチェック
[2002.11.22 UP]  もし、何者かによってサーバのファイルが改ざんされてしまった場合、それを早期に知り、元の状態へ復旧しなければならない。Tripwireでは、整合性のチェックを行った結果(レポート)をメールで送信することが可能だ。そこで、今回はTripwireの整合性チェック時に、管理者宛にメールを送信するための設定について解説しよう

第3回:レポートの参照とデータベースのアップデート
[2002.10.8 UP] 前回は、ポリシーファイルの記述方法について簡単に紹介したが、今回はそれを元に簡単なサンプルのポリシーファイルを作成し、実際に整合性のチェックを行いながらレポートファイルの参照や、整合性チェック後のデーターベースのアップデートやポリシーファイルのアップデートを行ってみよう

第2回:ポリシーファイルの作成と編集
[2002.9.30 UP] Tripwireを使用するには、監視したいファイルやディレクトリ、そしてそれらをどのように監視するかを決める「ポリシーファイルの作成や編集」が重要な要素となる。今回はポリシーファイルの記述方法について解説する

第1回:Tripwireを導入する
[2002.9.11 UP]  Linux上のファイルやディレクトリを監視し、変化があれば管理者に知らせてくれるツールとしてTripwireがある。もし意図しないファイルの改ざんやアクセス権の変更などが発見されれば、早期に対策を困じることが可能になるわけだ。まずは、Tripwireの導入方法から解説しよう

前のページ | 1 2 3 |      

[TTS,ITmedia]



Special

- PR -

Special

- PR -