整合性チェックで監査対象のファイルに変更が発見されたからといって、必ずしも不正な変更というわけではありません。Web関連のコンテンツファイルであれば、定期的に変更されることもあります。
再度整合性チェックを行うと、また違反が発見されるでしょう。これは当然の結果なのです。これまで説明してきたように、Tripwireは「ある時期に作成された」データベースファイルと、「整合性チェック時」のファイルの内容を比較するのです。つまり、データベースファイルを更新しない限り、何度でも違反として検出され続けるというわけです。
意図的なファイル変更を行った場合は、Tripwireの「データベースアップデートモード」を利用したデータベースのアップデートが必要になります。データベースのアップデートは、作成されたレポートファイルを基に行います。
実際に作業を進めながら説明しましょう。まずは、再度/var/tmp/atmarkitファイルに対する監査を行い、違反が報告されることを確認します。確認したら、tripwireコマンドを以下のように実行します。
# /usr/sbin/tripwire
-m u -c 設定ファイル -p ポリシーファイル -r レポートファイル |
すると、レポートファイルがvi(注)で開かれた状態で表示されます。
Tripwire(R) 2.3.0 Integrity Check Report |
レポートファイルには、①のような部分があります。これが変更されたファイルです。ファイル名の前にあるチェックをオン(「x」が入力された状態)にしたまま保存・終了するとデータベースがアップデートされます。なお、保存後にローカルパスフレーズの入力を求められます。
データベースのアップデートが終わったら再度整合性チェックを行い、違反が報告されないことを確認してください。
Tripwireでは、整合性チェックの結果を電子メールで通知することも可能です。
前回、電子メールで通知するための設定ファイルやポリシーファイルの記述については説明しました。しかし、これだけでは電子メールで通知されません。整合性チェックの際に、次のようにオプションを指定する必要があります。
# /usr/sbin/tripwire
-m c -M |
電子メールでの通知では、レポートレベルは高くなくてもいいでしょう。違反の有無を確認できるだけでいいからです。違反が検出された際はきちんとレポートの内容を確認し、しかるべき対応を取りましょう。
cronに登録することで、定期的に整合性チェックを行うことができます。しかし、ファイルによっては頻繁に監査(注)したいものや1日1回程度でいいものがあるでしょう。
前回も説明したとおり、Tripwireではポリシーファイル内のルールブロックごとに整合性のチェックを行うことができます。この機能を利用するといいでしょう。
ルール名「htmlfiles」は10分に1回。それを含めた全ルールは1日1回、午前1時に実施する場合は次のように登録します。
*/5 * * * * /usr/sbin/tripwire -m c -R htmlfiles -M |
Copyright © ITmedia, Inc. All Rights Reserved.