tripwire@改竄検知
2件目の仕事の間が2時間も空いてしまったので、
親しくさせていただいているクライアント様の
ところへ立ち寄り昼食としました。
ちょいとパソをお借りしてサーバーからの
ラブレターをチェックしていたら、ナニやってるん?
とシステム管理者の方が覗きこんで興味を示したので
ちょっとだけ説明してきました。
チェックしていたのはサーバーの改竄検知である
tripwireのログです。
まず分かりやすく説明できるように適当な
テキストファイルを作成してみました。
$ echo “TEST-Q” > ./test.txt
手動でチェックしてみます。
# tripwire -m c -s -c /etc/tripwire/tw.cfg
拙生は起動スクリプトを作成しているので
# zsh /etc/cron.daily/tripwire-check.sh
(パスとスクリプト名は作成環境により異なります。)
———————————–
Section: Unix File System
———————————–
| Rule Name | Severity Level | Added | Removed | Modified |
| ——— | ————– | —– | ——- | ——– |
| Invariant Directories | 66 | 0 | 0 | 0 |
| Temporary directories | 33 | 0 | 0 | 0 |
| * Tripwire Data Files | 100 | 1 | 0 | 0 |
なんてのが25項目表示されます。
Rule Nameの先頭に【*】があれば変更されています。
上記例ではTripwire Data FilesのAddedに1が付いていて
ファイルが追加されているのですが、これはtripwireの
データベースを作成したものなので問題ありません。
追加されたテキストファイルは
| Rule Name | Severity Level | Added | Removed | Modified |
| * Root config files | 100 | 1 | 0 | 1 |
トータルでは
Total objects scanned: 51028
Total violations found: 3
のような表示になります。
詳細はObject Summaryをみます。
=====================================
Object Summary:
=====================================
———————————–
# Section: Unix File System
———————————–
———————————————
Rule Name: Tripwire Data Files (/var/lib/tripwire)
Severity Level: 100
———————————————
Added:
“/var/lib/tripwire/ns3.oba-q.com.twd.bak”
———————————————
Rule Name: Root config files (/root)
Severity Level: 100
———————————————
Added
“/root/test.txt”
Modified:
“/root/.zsh_history”
作成したデータベースやtest.txtが検出されています。
Modifiedにあるzsh_historyは、使用シェルのコマンド履歴で、
何か作業すれば必ず検知されます。
これで追加と編集に関しては検知することを示せたので
次に削除してみました。
同じディレクトリには別のテストした時に作成した
testQ.txtがそのまま残っていたので、2つとも削除
してみました。
# rm -f test*
直後のチェック結果です。(抜粋)
| Rule Name | Severity Level | Added | Removed | Modified |
| * Root config files | 100 | 0 | 2 | 1 |
ちゃんと2個がRemoveされているのが分かります。
以下はその詳細です。
===========================================
Object Summary:
===========================================
Removed:
“/root/test.txt”
“/root/testQ.txt”
Modified:
“/root/.zsh_history”
ここで時間切れとなり説明を終わらせました。
tripwireチェックは結構時間がかかります。
Tripwireは追加・削除・編集などを検知し、あってはならない
改変などを見つけるのに役立つ強力なツールです。
ただし設定に手抜きやミスがあると、数千の改変が表示されたり
してビックリしますので要注意です。(笑
明日は新ひだか町まで走るので早めに寝ます。
HOME
最近のコメント