Tripwire 運用開始したらば、立ち止まって振り返るポイント
- クリアテキストの設定ファイル(twcfg.txt)の所有者、パーミッションは root ユーザのみに!
- クリアテキストのポリシーファイル(twpol.txt)の所有者、パーミッションは root ユーザのみに!
確認!実践!
すでに Tripwire による改ざん検知の運用をはじめました。ですけれども、クリアテキストの設定ファイル、ポリシーファイルの状態はどのようになっているでしょうか?
[root@oki2a24 ~]# ll /etc/tripwire/ total 160 -rw-r----- 1 root root 931 Jul 27 10:14 oki2a24.com-local.key -rw-r----- 1 root root 931 Jul 27 10:13 site.key -rw-r----- 1 root root 4586 Jul 27 10:49 tw.cfg -rw-r----- 1 root root 4586 Jul 27 10:49 tw.cfg.bak -rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol -rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol.bak -rw-r--r-- 1 root root 602 Jul 27 10:45 twcfg.txt -rw-r--r-- 1 root root 46536 Jul 27 09:09 twpol.txt -rw-r--r-- 1 root root 47544 Jul 28 15:16 twpol.txt.new -rw-r--r-- 1 root root 1908 Jul 27 11:30 twpolmake.pl [root@oki2a24 ~]#
はい♪アウトー!!!!!!!!!!!!root グループのみならず、全ユーザが読み取り可能です。もしわたくしがハッカーならば、大したことはできないでしょうけれども、クリアテキストのポリシーファイルを読み込んで、検知されない場所で悪さをすることでしょう。
ですので、次のコマンドで root ユーザのみが扱える、それ以外のグループ、ユーザは書き込みや実行どころか読み込みすらできないようにします。
[root@oki2a24 ~]# chmod 600 /etc/tripwire/twcfg.txt [root@oki2a24 ~]# chmod 600 /etc/tripwire/twpol.txt [root@oki2a24 ~]# chmod 600 /etc/tripwire/twpol.txt.new [root@oki2a24 ~]# chmod 600 /etc/tripwire/twpolmake.pl
これで OK です。
[root@oki2a24 ~]# ll /etc/tripwire/ total 160 -rw-r----- 1 root root 931 Jul 27 10:14 oki2a24.com-local.key -rw-r----- 1 root root 931 Jul 27 10:13 site.key -rw-r----- 1 root root 4586 Jul 27 10:49 tw.cfg -rw-r----- 1 root root 4586 Jul 27 10:49 tw.cfg.bak -rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol -rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol.bak -rw------- 1 root root 602 Jul 27 10:45 twcfg.txt -rw------- 1 root root 46536 Jul 27 09:09 twpol.txt -rw------- 1 root root 47544 Jul 28 15:16 twpol.txt.new -rw------- 1 root root 1908 Jul 27 11:30 twpolmake.pl [root@oki2a24 ~]#
と、ここまで行なって気が付きました。これらのファイルが収められている /etc/tripwire/ ディレクトリ、グループ、他のユーザのアクセス権が最初からありません。。。ですのでここまで気をつける必要はなかったかもしれません><。
[root@oki2a24 ~]# ll /etc/ 合計 2340 …略… drwx------ 2 root root 4096 7月 28 15:16 tripwire …略…
いいえ!よりセキュリティ強度が上がったということで、無意味ではないはずです♪
おわりに
次の注意点を実践に移しました♪ありがとうございます♪
Tripwireの設定ファイル(tw.cfg)やポリシーファイル(tw.pol)の基となったテンプレートファイル(twcfg.txtやtwpol.txt)は、Tripwireの設定やポリシーの変更を終えたら削除するか管理者(root)のみが参照可能な状態にしておくこと。
以上です。