Tripwire運用の勘所:ゼロから始めるLinuxセキュリティ(9)(2/2 ページ)
IDSは、導入したからといってセキュリティが向上するわけではないし、日々の運用を怠ればまったく無意味だ。では、どのように運用すればよいのか? 前回導入したTripwireの運用方法を解説する。
データベースのアップデート
整合性チェックで監査対象のファイルに変更が発見されたからといって、必ずしも不正な変更というわけではありません。Web関連のコンテンツファイルであれば、定期的に変更されることもあります。
再度整合性チェックを行うと、また違反が発見されるでしょう。これは当然の結果なのです。これまで説明してきたように、Tripwireは「ある時期に作成された」データベースファイルと、「整合性チェック時」のファイルの内容を比較するのです。つまり、データベースファイルを更新しない限り、何度でも違反として検出され続けるというわけです。
意図的なファイル変更を行った場合は、Tripwireの「データベースアップデートモード」を利用したデータベースのアップデートが必要になります。データベースのアップデートは、作成されたレポートファイルを基に行います。
実際に作業を進めながら説明しましょう。まずは、再度/var/tmp/atmarkitファイルに対する監査を行い、違反が報告されることを確認します。確認したら、tripwireコマンドを以下のように実行します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
すると、レポートファイルがvi(注)で開かれた状態で表示されます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
レポートファイルには、①のような部分があります。これが変更されたファイルです。ファイル名の前にあるチェックをオン(「x」が入力された状態)にしたまま保存・終了するとデータベースがアップデートされます。なお、保存後にローカルパスフレーズの入力を求められます。
データベースのアップデートが終わったら再度整合性チェックを行い、違反が報告されないことを確認してください。
効率的な整合性チェック
電子メールを利用した通知
Tripwireでは、整合性チェックの結果を電子メールで通知することも可能です。
前回、電子メールで通知するための設定ファイルやポリシーファイルの記述については説明しました。しかし、これだけでは電子メールで通知されません。整合性チェックの際に、次のようにオプションを指定する必要があります。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
電子メールでの通知では、レポートレベルは高くなくてもいいでしょう。違反の有無を確認できるだけでいいからです。違反が検出された際はきちんとレポートの内容を確認し、しかるべき対応を取りましょう。
定期的なチェック
cronに登録することで、定期的に整合性チェックを行うことができます。しかし、ファイルによっては頻繁に監査(注)したいものや1日1回程度でいいものがあるでしょう。
前回も説明したとおり、Tripwireではポリシーファイル内のルールブロックごとに整合性のチェックを行うことができます。この機能を利用するといいでしょう。
ルール名「htmlfiles」は10分に1回。それを含めた全ルールは1日1回、午前1時に実施する場合は次のように登録します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.