Tripwire 運用時のベースラインデータベースのアップデートコマンド
# 言語を翻訳しないに変更 export LANG=C # 言語変更の確認 # LANG=C と表示されれば OK env | grep LANG # Tripwire のベースラインデータベースを更新 tripwire -m u -r /var/lib/tripwire/report/oki2a24.com-201308dd--hhmmss.twr
問題ない時の日々のコマンドとなります。
さて、たとえ改ざんを検知しても、不正アクセスによる改ざんではなく、アプリ、ソフトウェアのアップデートなどによる、こちらが把握している変更は問題ありません。
現在1週間ほど動かしてみて、Tripwire の改ざんチェックが行われると必ずひっかかっています。次のファイルです。
- /var/log/rpmpkgs
これは問題か否か?ですけれども、問題なしとしました。このファイルは、CentOS にインストールされているパッケージの一覧が書き込まれているファイルで、1日に一回、更新されています。
cat /etc/cron.daily/rpm
上記コマンドで実際に中を見てみましょう。
#!/bin/sh
tmpfile=`/bin/mktemp /var/log/rpmpkgs.XXXXXXXXX` || exit 1
/bin/rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n' 2>&1 \
| /bin/sort > "$tmpfile"
if [ ! -s "$tmpfile" ]; then
rm -f "$tmpfile"
exit 1
fi
/bin/mv "$tmpfile" /var/log/rpmpkgs
/bin/chmod 0644 /var/log/rpmpkgs
1行1行の細かい意味は正直申しまして理解できておりませんけれども、cron.daily で問題のファイルを更新しております。
従いまして、クラッカーの攻撃による不正な改ざんではありません。問題なしと判断いたします。
なお、調べるに当たって次のページが参考になりました。ありがとうございます。
以上です。