■Tripwireによるファイル改ざんの検知
Linux上のファイルやディレクトリを監視し、変化があれば管理者に知らせてくれるツールとしてTripwireがある。もし意図しないファイルの改ざんやアクセス権の変更などが発見されれば、早期に対策を困じることが可能になるわけだ。まずは、Tripwireの導入方法から解説しよう
|
|
「Tripwire」は、チェックを行いたいファイルやディレクトリの状態をデータベースとして保存し、システムの現在の状態をデータベースと照らし合わせ、変化がないかを比較するツールだ。もし、不正アクセスなどによりファイルの改ざんや削除、パーミッションの変更などがあれば、それをエラーとして管理者に報告してくれるわけだ。ただし、すでに改ざんされているシステムにTripwireを入れても、それを発見することはできない。システムを構築した時点でTripwireをインストールし、データベースを構築するのが理想的だろう。
Tripwireを使用するには、監視したいファイルやディレクトリ、そしてそれらをどのように監視するかを決める「ポリシーファイルの作成」が重要な要素となる。
Tripwireを導入する流れについては以下のようになる。
図1■Tripwire導入から利用までのフローチャート
 |
