2013年8月13日追記 Amazon のパッケージ版のお値段は、変動いたしますね!今時点で12822円でございます。安い時を狙えば幸せにお買い物できそうです♪
その1。本家 Adobe のオンラインショップ
ダウンロード版になります。
Tripwire の扱いにも大分慣れてきましたの♪日々、次の投稿のコマンドを使ってチェックしております。
さて、yum で次のパッケージをアップデートいたしました。
- libxml2-2.6.26-2.1.21.el5_9.3.i386
- mysql-libs-5.5.33-1.el5.remi.i386
- mysql-server-5.5.33-1.el5.remi.i386
- mysql-5.5.33-1.el5.remi.i386
本来であれば、ここで Tripwire のベースラインデータベースをアップデートし、他のファイルの不正な改ざんを監視しやするべきなのですけれども、あえてこのまま放っておいて、MySQL をアップデートいたしますと Tripwire のレポートにどのように改ざん検知され、そして表現されるのか、見てみたいと思います。
レポートのメールタイトルを見てみます。
- TWReport oki2a24.com 20130803020041 V:69 S:100 A:2 R:2 C:65
全体で 69 もの違反検知(V:violations)があり、そのうち追加(A:Added)が 2 つ、削除(R:Removed)が 2 つ、変更(C:Modified)が 65 でした。とても多いですね。中身を見てみましょう。
Tripwire 運用時のベースラインデータベースのアップデートコマンド
# 言語を翻訳しないに変更 export LANG=C # 言語変更の確認 # LANG=C と表示されれば OK env | grep LANG # Tripwire のベースラインデータベースを更新 tripwire -m u -r /var/lib/tripwire/report/oki2a24.com-201308dd--hhmmss.twr
問題ない時の日々のコマンドとなります。
設定ファイルに追記する 3 つの設定
xdebug.var_display_max_children = -1 xdebug.var_display_max_data = -1 xdebug.var_display_max_depth = -1
これで var_dump 関数の内容が省略されずにすべて表示されるようになりました。
Tripwire 運用開始したらば、立ち止まって振り返るポイント
- クリアテキストの設定ファイル(twcfg.txt)の所有者、パーミッションは root ユーザのみに!
- クリアテキストのポリシーファイル(twpol.txt)の所有者、パーミッションは root ユーザのみに!
確認!実践!
サイトへの AdSense 広告配信が停止されています
Google さんから広告表示を停止する措置のメールをいただきました♪内容をきちんと理解して、対処をして、もう大丈夫だから安心してくださいましね♪と Google さんへ申告するまでのメモを残しておきます。
前回、Tripwire の改ざんチェックが自動化されていることを確認し、更にメールで自動的にレポートを送信するようにいたしました。
インストールの時に作成したままのベースラインデータベースですので、いくつか作業をいたしました後ですと、改ざんされていないにもかかわらず検知に引っかかってしまいます。
そこで、今回は Tripwire の改ざんチェック時に使用するベースラインデータベースのアップデート方法を学びたいと思います。
2014年1月4日追記 設定を見直し、本投稿の作業は不要になりました♪
- 【試行錯誤】★11★メールは crontab 結果のみに限定させていただきますわ♪【Tripwire】わたくしだって WORDPRESS サーバの改ざん検知したい!【CENTOS】 | oki2a24
追記終わり
前回、自動で定期的に Tripwire の改ざんチェックが行われるようになっていることを確認いたしました。
今回は、この自動の改ざんチェックを行った時に、自動でレポートをメール送信するように設定したいと思います。
前回、Tripwire をインストールして、日々の運用を開始する直前までの設定を行いました。
これから運用を開始します!と思っていたのですが、rpm インストールすると、cron に自動的に日々の改ざんチェックを登録していると読んだ記憶があります。
yum ではどうでしょうか?Tripwire を yum インストールしただけで cron に登録されるのでしょうか?
また、自動で改ざんチェックがあれば、レポートも気になります!レポートの読み方もチェックしたいと思います。
インストールのやり方や、操作の詳細、裏側などは以前の投稿でまとめました。
そこで次のページを参考にしながらインストール、そしていろいろ設定まで行なって運用開始まで行いたいと思います。
- ファイル改竄検知システム導入(Tripwire) – CentOSで自宅サーバー構築
→ こちらの手順をメインとします。 - ゼロから始めるLinuxセキュリティ(8):Tripwireによるホスト型IDSの構築 (1/3) – @IT
→ こちらはコマンドの詳細などを理解するために作業しながら合わせて読みます。
インストールは yum で自動的に行えるので難しくありません。インストール後のいろいろ設定して運用開始するまでが慣れない操作で大変です。少しずつ、何度も確認して進めて行きたいと思います。
次第〜おおまかな流れ
- Tripwire インストール ← yum で簡単♪
- 2 つのパスワード設定 ← サイト、ローカルの 2 種類
- 設定ファイルの作成 ← テキスト twcfg.txt 作って 暗号化 tw.cfg
- ポリシーファイルの作成 ← 最適化して暗号化 tw.pol
- ベースラインデータベースの作成 ← これで準備完了
- 整合性チェック ← はじめての改ざんチェック
- レポートのチェック ← 整合性チェックでできるファイル
運用を開始するまでには、インストールしてから、設定ファイル tw.cfg、ポリシーファイル tw.pol、ベースラインデータベースの作成、とさらに3つの段階を経ねばなりません。
設定ファイル tw.cfg、ポリシーファイル tw.pol、の違いがイマイチわかりません。調べましょう。さらに、どちらも暗号化剃る必要があり、手順は複雑です。一歩一歩ゆっくり進めて行きたいと思います。
- 設定ファイル → Tripwire の設定を記述。Tripwire 自身について書きます。
- ポリシーファイル → CentOS の改ざん検知対象、その詳細を記述。改ざん検知実行時の振る舞いを書きます。