カテゴリー
Linux

★7★日々の運用コマンド【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Tripwire 運用時のベースラインデータベースのアップデートコマンド

# 言語を翻訳しないに変更
export LANG=C
# 言語変更の確認
# LANG=C と表示されれば OK
env | grep LANG
# Tripwire のベースラインデータベースを更新
tripwire -m u -r /var/lib/tripwire/report/oki2a24.com-201308dd--hhmmss.twr

問題ない時の日々のコマンドとなります。

さて、たとえ改ざんを検知しても、不正アクセスによる改ざんではなく、アプリ、ソフトウェアのアップデートなどによる、こちらが把握している変更は問題ありません。

現在1週間ほど動かしてみて、Tripwire の改ざんチェックが行われると必ずひっかかっています。次のファイルです。

  • /var/log/rpmpkgs

これは問題か否か?ですけれども、問題なしとしました。このファイルは、CentOS にインストールされているパッケージの一覧が書き込まれているファイルで、1日に一回、更新されています。

cat /etc/cron.daily/rpm

上記コマンドで実際に中を見てみましょう。

#!/bin/sh

tmpfile=`/bin/mktemp /var/log/rpmpkgs.XXXXXXXXX` || exit 1
/bin/rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n' 2>&1 \
	| /bin/sort > "$tmpfile"

if [ ! -s "$tmpfile" ]; then
	rm -f "$tmpfile"
	exit 1
fi

/bin/mv "$tmpfile" /var/log/rpmpkgs
/bin/chmod 0644 /var/log/rpmpkgs

1行1行の細かい意味は正直申しまして理解できておりませんけれども、cron.daily で問題のファイルを更新しております。

従いまして、クラッカーの攻撃による不正な改ざんではありません。問題なしと判断いたします。

なお、調べるに当たって次のページが参考になりました。ありがとうございます。

以上です。

コメントを残す