カテゴリー
Linux

★6★設定ファイルの取り扱い注意!!!【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Tripwire 運用開始したらば、立ち止まって振り返るポイント

  • クリアテキストの設定ファイル(twcfg.txt)の所有者、パーミッションは root ユーザのみに!
  • クリアテキストのポリシーファイル(twpol.txt)の所有者、パーミッションは root ユーザのみに!

確認!実践!

すでに Tripwire による改ざん検知の運用をはじめました。ですけれども、クリアテキストの設定ファイル、ポリシーファイルの状態はどのようになっているでしょうか?

[root@oki2a24 ~]# ll /etc/tripwire/
total 160
-rw-r----- 1 root root   931 Jul 27 10:14 oki2a24.com-local.key
-rw-r----- 1 root root   931 Jul 27 10:13 site.key
-rw-r----- 1 root root  4586 Jul 27 10:49 tw.cfg
-rw-r----- 1 root root  4586 Jul 27 10:49 tw.cfg.bak
-rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol
-rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol.bak
-rw-r--r-- 1 root root   602 Jul 27 10:45 twcfg.txt
-rw-r--r-- 1 root root 46536 Jul 27 09:09 twpol.txt
-rw-r--r-- 1 root root 47544 Jul 28 15:16 twpol.txt.new
-rw-r--r-- 1 root root  1908 Jul 27 11:30 twpolmake.pl
[root@oki2a24 ~]#

はい♪アウトー!!!!!!!!!!!!root グループのみならず、全ユーザが読み取り可能です。もしわたくしがハッカーならば、大したことはできないでしょうけれども、クリアテキストのポリシーファイルを読み込んで、検知されない場所で悪さをすることでしょう。

ですので、次のコマンドで root ユーザのみが扱える、それ以外のグループ、ユーザは書き込みや実行どころか読み込みすらできないようにします。

[root@oki2a24 ~]# chmod 600 /etc/tripwire/twcfg.txt
[root@oki2a24 ~]# chmod 600 /etc/tripwire/twpol.txt
[root@oki2a24 ~]# chmod 600 /etc/tripwire/twpol.txt.new
[root@oki2a24 ~]# chmod 600 /etc/tripwire/twpolmake.pl

これで OK です。

[root@oki2a24 ~]# ll /etc/tripwire/
total 160
-rw-r----- 1 root root   931 Jul 27 10:14 oki2a24.com-local.key
-rw-r----- 1 root root   931 Jul 27 10:13 site.key
-rw-r----- 1 root root  4586 Jul 27 10:49 tw.cfg
-rw-r----- 1 root root  4586 Jul 27 10:49 tw.cfg.bak
-rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol
-rw-r----- 1 root root 12415 Jul 28 15:16 tw.pol.bak
-rw------- 1 root root   602 Jul 27 10:45 twcfg.txt
-rw------- 1 root root 46536 Jul 27 09:09 twpol.txt
-rw------- 1 root root 47544 Jul 28 15:16 twpol.txt.new
-rw------- 1 root root  1908 Jul 27 11:30 twpolmake.pl
[root@oki2a24 ~]#

と、ここまで行なって気が付きました。これらのファイルが収められている /etc/tripwire/ ディレクトリ、グループ、他のユーザのアクセス権が最初からありません。。。ですのでここまで気をつける必要はなかったかもしれません><。

[root@oki2a24 ~]# ll /etc/
合計 2340
…略…
drwx------  2 root root    4096  7月 28 15:16 tripwire
…略…

いいえ!よりセキュリティ強度が上がったということで、無意味ではないはずです♪

おわりに

次の注意点を実践に移しました♪ありがとうございます♪

Tripwireの設定ファイル(tw.cfg)やポリシーファイル(tw.pol)の基となったテンプレートファイル(twcfg.txtやtwpol.txt)は、Tripwireの設定やポリシーの変更を終えたら削除するか管理者(root)のみが参照可能な状態にしておくこと。

止められないUNIXサーバのセキュリティ対策(最終回):Tripwireのポリシーを最適化する (3/3) – @IT

以上です。

コメントを残す