Tripwireによるホスト型IDSの構築:ゼロから始めるLinuxセキュリティ(8)(1/3 ページ)
ファイルの改ざんに早く気付くことは極めて重要だ。Webコンテンツの改ざんはもちろん、コマンドを置き換えられてバックドアを仕掛けられることも考えられる。Tripwireは、こうした事態への即応体制を整えるための有用なツールだ。
前回紹介したように、Tripwireはファイルの監査を行うホスト型IDSです。監査対象となるディレクトリやファイル属性のHASH値をデータベースに保存しておき、データベースと現在の属性を比較することで監査を行います。Tripwireでは、この監査を「整合性チェック」と呼びます。違反があった場合は、管理者に対してメールで通知する機能などもあります。
Tripwireの導入には、大きく分けて以下のような作業が発生します。
- Tripwireのインストール
- 設定ファイルの作成
- ポリシーファイルの作成
- ベースラインデータベースの作成
- 整合性チェック
- レポートのチェック
- ポリシーファイルの調整
ネットワーク型IDSと違い、ホスト型IDSはポリシーファイルが一度決まってしまえば、ホスト上で大きな変更がない限り、ポリシーファイルを変更する必要はそれほどありません。そこで、導入初期段階が非常に重要になってきます。大切なことは、Tripwireを導入する意味や目的をきちんと考えたうえで作業することです。
Tripwireのインストール
オープンソース版(無償)のTripwireはhttp://www.tripwire.org/にあります。ここには、
- tarボール(バイナリ+関連ファイル)
- RPM 3.0版(Red Hat Linux 5.x〜6.x用)
- RPM 4.0版(Red Hat Linux 7.x用)
が用意されているので、適当なディレクトリにダウンロードして展開、インストールします。
$ tar -zxvf tripwire-2.3-47.i386.tar.gz # rpm -ivh tripwire-2.3-47.i386.rpm
/usr/sbin以下に実行ファイルなどがインストールされ、/etc/tripwireディレクトリが作成されます。ここで、/etc/tripwireにサンプルとなる設定ファイルやポリシーファイルがあることを確認してください。
しかし、rpmコマンドだけでインストール作業が完了したわけではありません。Tripwireでは、設定ファイルやポリシーファイルで利用されるサイトキーファイルを暗号化するための「サイトパスフレーズ」、データベースファイルなどで利用されるローカルキーファイルを暗号化するための「ローカルパスフレーズ」が必要になります。各パスフレーズを設定するために、/etc/tripwireディレクトリにあるtwinstall.shというスクリプトを実行します。
# /etc/tripwire/twinstall.sh
スクリプトを実行したら、表示される指示に従って設定を進めます。初めにサイトキーファイルのパスフレーズ、次にローカルキーファイルを入力します。それぞれ確認用の入力も求められるので2回ずつ入力することになります。これが終わると、先に設定したサイトパスフレーズの入力が2回必要になります。画面の指示をよく見れば特に難しくありません。
設定が終わったら、/etc/tripwireディレクトリに以下の2つのキーファイルが作成されていることを確認しましょう。
- ホスト名-local.key-local.key
- site.key
Copyright © ITmedia, Inc. All Rights Reserved.