| エンタープライズ:特集 | 2002/12/06 18:35:00 更新 |
第5回 Tripwireを運用するときの注意点 (1/4)
前回まででTripwireの導入からおもなコマンドオプション、整合性チェック、レポートのメール送信など、基本的な使用法について解説した。今回は、Tripwireを運営する際に行っておくべきバックアップや、データベースの表示、キーファイルの変更方法などについて解説する。
Tripwire関連ファイルはバックアップを取ろう
まず大事なことはTripwireに関連するファイルは必ずバックアップを取っておく必要がある。たとえば、サイトキーファイルやローカルキーファイルがなくなってしまうと、キーファイルで署名されたファイルを閲覧することができなくなってしまう。これは、第三者によるものでなくとも、作業中に誤って削除してしまうという可能性も考慮して、必ずバックアップを取っておこう。また、設定ファイル、ポリシーファイル、Tripwireのデータベースファイルといったファイル類も、アップデートや変更時には常にバックアップを行っておく必要があるだろう。万が一Tripwireデータベースファイルを削除されてしまった場合でも、バックアップからの復旧が可能であれば、Tripwireデータベースファイルを削除された際に、ほかのどのファイルが改ざんされたかチェックできるかもしれない。もちろん、Tripwireデータベースを削除できないように、Tripwireの実行ファイルとTripwireデータベースを、読み込みしか許可していないメディア(CD-R/MOなど)に保存しておくという方法も考えられる。
Tripwireデータベースの確認
Tripwireのデータベースは、Tripwireデータベース全体や、データベース内の個々のファイルに関する情報を「twprint --print-dbfile」コマンドを利用すれば表示できる。
データベースの表示により、いつ誰が、アップデート行ったかを知ること(これはレポートファイルからもわかる)や、そしてTripwireがシステム上でチェックを行っている情報について閲覧することができる。
Tripwireデータベースの表示
| コマンド:twprint [-m d|--print-dbfile] [options] [object1 [object2...]] |
例)Tripwireデータベースの全体の表示
# twprint --print-dbfile | less
Tripwire(R) 2.3.0 Database
Database generated by: root
Database generated on: 2002年01月03日 09時26分05秒 ←作成された日時
Database last updated on: 2002年01月03日 13時31分46秒 ←アップデート最終日時
===============================================================================
Database Summary:
===============================================================================
Host name: linux
Host IP address: 127.0.0.1
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/linux.twd
Command line used: /usr/sbin/tripwire --init
===============================================================================
Object Summary:
===============================================================================
-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------
Mode UID Size Modify Time
------ ---------- ---------- ----------
/
drwxr-xr-x root (0) XXX XXXXXXXXXXXXXXXXX
/bin
drwxr-xr-x root (0) 4096 2002年01月03日 17時18分12秒
/bin/arch
-rwxr-xr-x root (0) 4330 2002年08月31日 05時00分50秒
/bin/ash
-rwxr-xr-x root (0) 110048 2002年07月18日 08時50分41秒
/bin/ash.static
-rwxr-xr-x root (0) 505685 2002年07月18日 08時50分41秒
/bin/awk
lrwxrwxrwx root (0) 4 2002年01月03日 17時12分53秒
/bin/basename
-rwxr-xr-x root (0) 10680 2002年08月30日 05時56分29秒
/bin/bash
-rwxr-xr-x root (0) 626188 2002年08月24日 05時01分06秒
/bin/bash2
lrwxrwxrwx root (0) 4 2002年01月03日 17時12分27秒
/bin/bsh
lrwxrwxrwx root (0) 3 2002年01月03日 17時14分03秒
/bin/cat
-rwxr-xr-x root (0) 19154 2002年07月01日 18時56分30秒
/bin/chgrp
-rwxr-xr-x root (0) 18136 2002年09月02日 20時21分23秒
/bin/chmod
-rwxr-xr-x root (0) 18072 2002年09月02日 20時21分23秒
/bin/chown
-rwxr-xr-x root (0) 20120 2002年09月02日 20時21分23秒
/bin/cp
-rwxr-xr-x root (0) 49548 2002年09月02日 20時21分23秒
/bin/cpio
-rwxr-xr-x root (0) 64706 2002年06月23日 23時37分35秒
〜以下省略〜
|
データベースから特定のファイルに関する情報を表示する
| コマンド:twprint --print-dbfile [object1 [object2...]] |
例)データベースから/bin/netstatに関する情報を表示
# /usr/sbin/twprint --print-dbfile /bin/netstat Object name: /bin/netstat Property: Value: ------------- ----------- Object Type Regular File Device Number 771 File Device Number 0 Inode Number 2501863 Mode -rwxr-xr-x Num Links 1 UID root (0) GID root (0) Size 100858 Modify Time 2002年08月06日 23時41分48秒 Change Time 2002年01月03日 17時12分09秒 Blocks 208 CRC32 AV+NkQ MD5 BjhniuQT54Hn/HOBu9hnMV |
キーファイルのパスフレーズの設定
Tripwireのローカルパスフレーズ、サイトパスフレーズともに、類推しにくい強固なパスワードを設定しておくのは当然のことだ。しかし、もしそれぞれのパスフレーズが憶測されてしまった場合、ファイルがすり替えられた(改ざんされた)状態で、Tripwireの関連ファイルがアップデートされてしまう可能性がある。そのような状況に陥ると、整合性のチェックを行っても改ざんされたファイルの変更が報告されることはなく、管理者はシステムが正常に動作しているものと思いこんでしまうだろう。パスフレーズに簡単なパスフレーズを設定していることはないとは思うが、Tripwireの利用を開始する際には、改めて確認しておくとよいだろう。
[TTS,ITmedia]
