yum update でいつも叩くコマンドメモ♪★オプション★◆Tripwire◆

スポンサードリンク


# キャッシュを削除してアップデート
yum clean all
yum update --enablerepo=epel,nginx,remi,remi-php55,rpmforge

# エラーとなるので言語設定をしてから tripwire 更新
export LANG=C
tripwire -m c -I

yum の update を書く位置は、一番最後でも構いません。

tripwire のオプションはいつも忘れてしまいます。

  • -m c モードはチェック
  • -I レポートを開いて対話的(interactive)に操作

“yum update でいつも叩くコマンドメモ♪★オプション★◆Tripwire◆” の続きを読む

【試行錯誤】★11★メールは crontab 結果のみに限定させていただきますわ♪【Tripwire】わたくしだって WORDPRESS サーバの改ざん検知したい!【CENTOS】

今回投稿の Tripwire と cron.daily でのメール送信ポイント

Tripwire コマンドではなく、cron.daily 実行時の出力をメールするようにいたします。 よって、Tripwire 実行時のメール送信処理に関する次の 2 か所を変更することがポイントですの♪

  • /etc/cron.daily/tripwire-check のメール送信オプションを外す。
  • Tripwire ポリシーファイル tw.pol の emailto 属性を削除する。

“【試行錯誤】★11★メールは crontab 結果のみに限定させていただきますわ♪【Tripwire】わたくしだって WORDPRESS サーバの改ざん検知したい!【CENTOS】” の続きを読む

★10★意図的な変更後に Tripwire データベースをアップデート♪【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

明示的に Tripwire ベースラインデータベースをアップデートする時のポイント

  • 改ざんチェック → アップデート、が一度にできるオプションを使うと便利

好きなタイミングで Tripwire ベースラインデータベースをアップデートするための具体的で便利なコマンド

# エラー回避のために、言語を翻訳しないよう設定
export LANG=C
# 改ざんチェック後、自動的にレポートを表示してアップデート
tripwire -m c -I
  • -m c, –check → チェックモードを指定
  • -I, –interactive → チェック後、アップデートを簡単に行うためにレポートを開く

最大のポイントは、オプションとして「-I」を指定することです。インタラクティブにチェックをいたしますの!という指定でございます。

“★10★意図的な変更後に Tripwire データベースをアップデート♪【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★9★Sendmail 再起動するだけで改ざん検知レポートされる【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Sendmail を再起動すると変更されるファイル

  • /var/lock/subsys/sendmail
  • /var/lock/subsys/sm-client
  • /var/run/sendmail.pid
  • /var/run/sm-client.pid

これはなにも Sendmail に限ったことではないと思います。パッケージを起動しますと OS が、Linux が、lock と pid を管理して、今どんなアプリが動いているかを管理する、そのような理解でよいと考えています。

一度きちんと勉強してみたい部分でございますね。

それはともかく、パッケージの起動でファイルが変わりますので、Tripwire の改ざん検知に引っかかる、という点を覚えておきます。

“★9★Sendmail 再起動するだけで改ざん検知レポートされる【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★8★レポートのメールタイトルの見方ですとか、たとえばこんな結果【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Tripwire の扱いにも大分慣れてきましたの♪日々、次の投稿のコマンドを使ってチェックしております。

さて、yum で次のパッケージをアップデートいたしました。

  • libxml2-2.6.26-2.1.21.el5_9.3.i386
  • mysql-libs-5.5.33-1.el5.remi.i386
  • mysql-server-5.5.33-1.el5.remi.i386
  • mysql-5.5.33-1.el5.remi.i386

本来であれば、ここで Tripwire のベースラインデータベースをアップデートし、他のファイルの不正な改ざんを監視しやするべきなのですけれども、あえてこのまま放っておいて、MySQL をアップデートいたしますと Tripwire のレポートにどのように改ざん検知され、そして表現されるのか、見てみたいと思います。

レポートのメールタイトルを見てみます。

  • TWReport oki2a24.com 20130803020041 V:69 S:100 A:2 R:2 C:65

全体で 69 もの違反検知(V:violations)があり、そのうち追加(A:Added)が 2 つ、削除(R:Removed)が 2 つ、変更(C:Modified)が 65 でした。とても多いですね。中身を見てみましょう。

“★8★レポートのメールタイトルの見方ですとか、たとえばこんな結果【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★7★日々の運用コマンド【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Tripwire 運用時のベースラインデータベースのアップデートコマンド

# 言語を翻訳しないに変更
export LANG=C
# 言語変更の確認
# LANG=C と表示されれば OK
env | grep LANG
# Tripwire のベースラインデータベースを更新
tripwire -m u -r /var/lib/tripwire/report/oki2a24.com-201308dd--hhmmss.twr

問題ない時の日々のコマンドとなります。

“★7★日々の運用コマンド【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★6★設定ファイルの取り扱い注意!!!【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

Tripwire 運用開始したらば、立ち止まって振り返るポイント

  • クリアテキストの設定ファイル(twcfg.txt)の所有者、パーミッションは root ユーザのみに!
  • クリアテキストのポリシーファイル(twpol.txt)の所有者、パーミッションは root ユーザのみに!

確認!実践!

“★6★設定ファイルの取り扱い注意!!!【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★5★ベースラインデータベースをアップデート【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

前回、Tripwire の改ざんチェックが自動化されていることを確認し、更にメールで自動的にレポートを送信するようにいたしました。

インストールの時に作成したままのベースラインデータベースですので、いくつか作業をいたしました後ですと、改ざんされていないにもかかわらず検知に引っかかってしまいます。

そこで、今回は Tripwire の改ざんチェック時に使用するベースラインデータベースのアップデート方法を学びたいと思います。

“★5★ベースラインデータベースをアップデート【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★4★自動でレポートをメールで送信【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

2014年1月4日追記 設定を見直し、本投稿の作業は不要になりました♪

追記終わり

前回、自動で定期的に Tripwire の改ざんチェックが行われるようになっていることを確認いたしました。

今回は、この自動の改ざんチェックを行った時に、自動でレポートをメール送信するように設定したいと思います。

“★4★自動でレポートをメールで送信【Tripwire】わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む

★3★ レポートの読み方【Tripwire】yum なら自動で動く。わたくしだって WordPress サーバの改ざん検知したい!【CentOS】

前回、Tripwire をインストールして、日々の運用を開始する直前までの設定を行いました。

これから運用を開始します!と思っていたのですが、rpm インストールすると、cron に自動的に日々の改ざんチェックを登録していると読んだ記憶があります。

yum ではどうでしょうか?Tripwire を yum インストールしただけで cron に登録されるのでしょうか?

また、自動で改ざんチェックがあれば、レポートも気になります!レポートの読み方もチェックしたいと思います。

“★3★ レポートの読み方【Tripwire】yum なら自動で動く。わたくしだって WordPress サーバの改ざん検知したい!【CentOS】” の続きを読む