エンタープライズ:特集 | 2002/11/22 14:29:00 更新 |

第4回:レポートの送信とCronを利用した定期的な整合性のチェック (1/5)
もし、何者かによってサーバのファイルが改ざんされてしまった場合、それを早期に知り、元の状態へ復旧しなければならない。Tripwireでは、整合性のチェックを行った結果(レポート)をメールで送信することが可能だ。そこで、今回はTripwireの整合性チェック時に、管理者宛にメールを送信するための設定について解説しよう
整合性チェックの結果をメールで送信する
Tripwireには、整合性のチェックを行った際の結果を、メールで送信するための設定項目がある。たとえば、Cronを利用してTripwireの整合性チェックを定期的に行わせ、その結果をメールで送信させるように設定しておけば、万が一サーバのファイルに変更が発見された場合でも、早期に復旧などの対策を講じることができるだろう。
Tripwireからメールでレポートを送信するためには、整合性チェック時にコマンドオプションで指定すればよい。ただし、その前にTripwireの設定ファイル(twcfg)にある、メール送信に関する項目を、環境に合わせて編集しておく必要がある。まずはじめに、メール送信の設定を中心とした設定ファイルを編集してみよう。
Tripwire設定ファイルの編集
Tripwire設定ファイルの項目内容については、第1回「Tripwireを導入する」に記載されているが、ここではレポートのメール送信に関する設定を中心に、もう少し詳しく解説していく。
第3回で、ポリシーファイルのクリアテキストは削除してしまい、必要な時はtwadminコマンドで出力すればよいと解説したが、それと同様に設定ファイルのクリアテキスト(デフォルトでは/etc/tripwire/twcfg.txt)を削除してしまった場合でも、下記のようにtwadminコマンドを利用して、twcfgファイルを参照したり、クリアテキストファイルとして出力することができる。ここでは、現在の設定ファイル(twcfg)をクリアテキストとして出力し、これを編集していくことにする。
twcfgファイルを参照する
# twadmin --print-cfgfile |
twcfgファイルをクリアテキストへ出力する
# twadmin --print-cfgfile > twcfg.txt |
では、設定ファイルをクリアテキストに出力して編集していこう。
# cd /etc/tripwire # twadmin --print-cfgfile > twcfg.txt # vi twcfg.txt ROOT =/usr/sbin POLFILE =/etc/tripwire/tw.pol DBFILE =/var/lib/tripwire/(HOSTNAME).twd REPORTFILE =/var/lib/tripwire/report/(HOSTNAME)-(DATE).twr SITEKEYFILE =/etc/tripwire/site.key LOCALKEYFILE =/etc/tripwire/(HOSTNAME)-local.key EDITOR =/bin/vi LATEPROMPTING =false LOOSEDIRECTORYCHECKING =false MAILNOVIOLATIONS =true EMAILREPORTLEVEL =3 REPORTLEVEL =3 MAILMETHOD =SENDMAIL SYSLOGREPORTING =false MAILPROGRAM =/usr/sbin/sendmail -oi -t |
上記のtwcfg.txtは、Tripwireをインストールした際のデフォルトのtwcfg.txtと同じ内容が記述されている。
[TTS,ITmedia]