Tripwire運用の勘所：ゼロから始めるLinuxセキュリティ（9）（2/2 ページ）

[大貫大輔，株式会社ラック／不正アクセス対策事業本部]

データベースのアップデート

　整合性チェックで監査対象のファイルに変更が発見されたからといって、必ずしも不正な変更というわけではありません。Web関連のコンテンツファイルであれば、定期的に変更されることもあります。

　再度整合性チェックを行うと、また違反が発見されるでしょう。これは当然の結果なのです。これまで説明してきたように、Tripwireは「ある時期に作成された」データベースファイルと、「整合性チェック時」のファイルの内容を比較するのです。つまり、データベースファイルを更新しない限り、何度でも違反として検出され続けるというわけです。

　意図的なファイル変更を行った場合は、Tripwireの「データベースアップデートモード」を利用したデータベースのアップデートが必要になります。データベースのアップデートは、作成されたレポートファイルを基に行います。

　実際に作業を進めながら説明しましょう。まずは、再度/var/tmp/atmarkitファイルに対する監査を行い、違反が報告されることを確認します。確認したら、tripwireコマンドを以下のように実行します。

# /usr/sbin/tripwire -m u -c 設定ファイル -p ポリシーファイル -r レポートファイル

　すると、レポートファイルがvi（注）で開かれた状態で表示されます。

注：レポートファイルを開くエディタは、設定ファイルの「EDITOR」で定義されています。

Tripwire(R) 2.3.0 Integrity Check Report Report generated by:          root Report created on:            Tue Apr  9 12:37:12 2002 Database last updated on:     Mon Apr  8 20:26:07 2002 ====================================================================== Report Summary: ====================================================================== Host name:                    atmarkit （中略） ---------------------------------------------------------------------- Rule Name: TestPolicy (/var/tmp/atmarkit) Severity Level: 0 ---------------------------------------------------------------------- Remove the "x" from the adjacent box to prevent updating the database with the new values for this object. Modified: [x] "/var/tmp/atmarkit"  ====================================================================== Object Detail: ====================================================================== （中略）    Modified object name:  /var/tmp/atmarkit   Property:        Expected                   Observed   -------------    -----------                -----------   Object Type      Regular File               Regular File   Device Number    770                        770   Inode Number     1186733                    1186733   Mode             -rw-r--r--                 -rw-r--r--   Num Links        1                          1   UID              root (0)                   root (0)   GID              root (0)                   root (0) * Size             931                        1083 * Modify Time      Mon Apr  8 20:25:41 2002   Tue Apr  9 12:37:03 2002   Blocks           8                          8 * CRC32            AsdXgr                     B9BiOR * MD5              AnFGlQAa6uTviRVQJIie0V     BU+dY6h5Vez7cunb9L7hA4 （以下略）

　レポートファイルには、①のような部分があります。これが変更されたファイルです。ファイル名の前にあるチェックをオン（「x」が入力された状態）にしたまま保存・終了するとデータベースがアップデートされます。なお、保存後にローカルパスフレーズの入力を求められます。

　データベースのアップデートが終わったら再度整合性チェックを行い、違反が報告されないことを確認してください。

効率的な整合性チェック

電子メールを利用した通知

　Tripwireでは、整合性チェックの結果を電子メールで通知することも可能です。

　前回、電子メールで通知するための設定ファイルやポリシーファイルの記述については説明しました。しかし、これだけでは電子メールで通知されません。整合性チェックの際に、次のようにオプションを指定する必要があります。

# /usr/sbin/tripwire -m c -M

　電子メールでの通知では、レポートレベルは高くなくてもいいでしょう。違反の有無を確認できるだけでいいからです。違反が検出された際はきちんとレポートの内容を確認し、しかるべき対応を取りましょう。

定期的なチェック

　cronに登録することで、定期的に整合性チェックを行うことができます。しかし、ファイルによっては頻繁に監査（注）したいものや1日1回程度でいいものがあるでしょう。

注：頻度（チェック間隔）には注意が必要です。1分ごとに実行するようにcronへ登録しても、チェックに1分以上かかるようではチェックをしている最中に次のチェックが開始されることになってしまいます。筆者は、このようなチェックを試したことがないのでどのような結果になるか分かりせんが……。

　前回も説明したとおり、Tripwireではポリシーファイル内のルールブロックごとに整合性のチェックを行うことができます。この機能を利用するといいでしょう。

　ルール名「htmlfiles」は10分に1回。それを含めた全ルールは1日1回、午前1時に実施する場合は次のように登録します。

*/5 * * * *         /usr/sbin/tripwire -m c -R htmlfiles -M 0 1 * * *           /usr/sbin/tripwire -m c -M

「次回」へ

「ゼロから始めるLinuxセキュリティ」バックナンバー

• ネットワーク型IDS「Snort」のシグネチャ作成法
• ネットワーク型IDS「Snort」の導入
• Tripwire運用の勘所
• Tripwireによるホスト型IDSの構築
• Linuxで使える侵入検知システム（IDS）
• ファイアウォールの設定・動作チェック方法
• Linuxで作るファイアウォール［パケットフィルタリング設定編］
• Linuxで作るファイアウォール［NAT設定編］
• Linuxで作るファイアウォール［準備編］
• ホストレベルセキュリティの総仕上げ
• インストール直後に絶対やるべき作業と設定