カテゴリー
Linux

【試行錯誤】★11★メールは crontab 結果のみに限定させていただきますわ♪【Tripwire】わたくしだって WORDPRESS サーバの改ざん検知したい!【CENTOS】

今回投稿の Tripwire と cron.daily でのメール送信ポイント

Tripwire コマンドではなく、cron.daily 実行時の出力をメールするようにいたします。 よって、Tripwire 実行時のメール送信処理に関する次の 2 か所を変更することがポイントですの♪

  • /etc/cron.daily/tripwire-check のメール送信オプションを外す。
  • Tripwire ポリシーファイル tw.pol の emailto 属性を削除する。
カテゴリー
Linux

★6★設定ファイルの取り扱い注意!!!【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Tripwire 運用開始したらば、立ち止まって振り返るポイント

  • クリアテキストの設定ファイル(twcfg.txt)の所有者、パーミッションは root ユーザのみに!
  • クリアテキストのポリシーファイル(twpol.txt)の所有者、パーミッションは root ユーザのみに!

確認!実践!

カテゴリー
Linux

★5★ベースラインデータベースをアップデート【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

前回、Tripwire の改ざんチェックが自動化されていることを確認し、更にメールで自動的にレポートを送信するようにいたしました。

インストールの時に作成したままのベースラインデータベースですので、いくつか作業をいたしました後ですと、改ざんされていないにもかかわらず検知に引っかかってしまいます。

そこで、今回は Tripwire の改ざんチェック時に使用するベースラインデータベースのアップデート方法を学びたいと思います。

カテゴリー
Linux

★4★自動でレポートをメールで送信【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

2014年1月4日追記 設定を見直し、本投稿の作業は不要になりました♪

追記終わり

前回、自動で定期的に Tripwire の改ざんチェックが行われるようになっていることを確認いたしました。

今回は、この自動の改ざんチェックを行った時に、自動でレポートをメール送信するように設定したいと思います。

カテゴリー
Linux

★3★ レポートの読み方【Tripwire】yum なら自動で動く。わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

前回、Tripwire をインストールして、日々の運用を開始する直前までの設定を行いました。

これから運用を開始します!と思っていたのですが、rpm インストールすると、cron に自動的に日々の改ざんチェックを登録していると読んだ記憶があります。

yum ではどうでしょうか?Tripwire を yum インストールしただけで cron に登録されるのでしょうか?

また、自動で改ざんチェックがあれば、レポートも気になります!レポートの読み方もチェックしたいと思います。

カテゴリー
Linux

★2★インストールから設定まで【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

インストールのやり方や、操作の詳細、裏側などは以前の投稿でまとめました。

そこで次のページを参考にしながらインストール、そしていろいろ設定まで行なって運用開始まで行いたいと思います。

インストールは yum で自動的に行えるので難しくありません。インストール後のいろいろ設定して運用開始するまでが慣れない操作で大変です。少しずつ、何度も確認して進めて行きたいと思います。

次第〜おおまかな流れ

  1. Tripwire インストール ← yum で簡単♪
  2. 2 つのパスワード設定 ← サイト、ローカルの 2 種類
  3. 設定ファイルの作成 ← テキスト twcfg.txt 作って 暗号化 tw.cfg
  4. ポリシーファイルの作成 ← 最適化して暗号化 tw.pol
  5. ベースラインデータベースの作成 ← これで準備完了
  6. 整合性チェック ← はじめての改ざんチェック
  7. レポートのチェック ← 整合性チェックでできるファイル

運用を開始するまでには、インストールしてから、設定ファイル tw.cfg、ポリシーファイル tw.pol、ベースラインデータベースの作成、とさらに3つの段階を経ねばなりません。

設定ファイル tw.cfg、ポリシーファイル tw.pol、の違いがイマイチわかりません。調べましょう。さらに、どちらも暗号化剃る必要があり、手順は複雑です。一歩一歩ゆっくり進めて行きたいと思います。

  • 設定ファイル → Tripwire の設定を記述。Tripwire 自身について書きます。
  • ポリシーファイル → CentOS の改ざん検知対象、その詳細を記述。改ざん検知実行時の振る舞いを書きます。
カテゴリー
Linux

★1★【リンク】これだけ読んで始めましたの【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

覚えておきたいと思ったこと

  • ファイル改ざん通知をしてくれるソフトウェアがある。
  • IDS とイコールであると大雑把には覚えておけば良い。Intrusion → 侵入、Detection → 検知、System → システム
  • Tripwire、OSSEC、AIDE が有名だとか。
  • Google で軽く調べてみると日本語では圧倒的に Tripwire のコンテンツが多い。ただし書かれた時期がとても古く、2002年周辺と古いのものが多い。
  • 大体のファイル改ざんのソフトは、「通知」をしてくれるが、「アクセスの遮断」や「修復」といったそれ以外のことはできない。
  • インストール → 設定ファイル → ポリシーファイル → ベースラインデータベース作成 → 日々の運用開始、と始めるまでが結構長く手間がかかる。
  • 改ざん検知した場合、いろいろ対処して再び運用開始するには、場合によってはポリシーファイルの更新、そしてベースラインデータベースの更新が必要で、ここも少し手間。
  • ファイル改ざん検知システムには、ホスト型とネットワーク型がある。
  • Tripwire は有料とおっしゃっていたページもあったが、よくよく調べてみると、確かに有料版が販売されている。 → IT全般統制ソリューションを実現へ トリップワイヤ・ジャパン しかし、オープンソースの無料版 Tripwire もある。Linux のサーバに入れる場合は、この無料版が使える。
  • Tripwire の日々の運用としてメールで改ざん有無、改ざん内容の結果を受け取ることも可能

おせわになった参考ページ