Tripwireによるホスト型IDSの構築：ゼロから始めるLinuxセキュリティ（8）（1/3 ページ）

　前回紹介したように、Tripwireはファイルの監査を行うホスト型IDSです。監査対象となるディレクトリやファイル属性のHASH値をデータベースに保存しておき、データベースと現在の属性を比較することで監査を行います。Tripwireでは、この監査を「整合性チェック」と呼びます。違反があった場合は、管理者に対してメールで通知する機能などもあります。

　Tripwireの導入には、大きく分けて以下のような作業が発生します。

　ネットワーク型IDSと違い、ホスト型IDSはポリシーファイルが一度決まってしまえば、ホスト上で大きな変更がない限り、ポリシーファイルを変更する必要はそれほどありません。そこで、導入初期段階が非常に重要になってきます。大切なことは、Tripwireを導入する意味や目的をきちんと考えたうえで作業することです。

Tripwireのインストール

　オープンソース版（無償）のTripwireはhttp://www.tripwire.org/にあります。ここには、

が用意されているので、適当なディレクトリにダウンロードして展開、インストールします。

$ tar -zxvf tripwire-2.3-47.i386.tar.gz
# rpm -ivh tripwire-2.3-47.i386.rpm

　/usr/sbin以下に実行ファイルなどがインストールされ、/etc/tripwireディレクトリが作成されます。ここで、/etc/tripwireにサンプルとなる設定ファイルやポリシーファイルがあることを確認してください。

　しかし、rpmコマンドだけでインストール作業が完了したわけではありません。Tripwireでは、設定ファイルやポリシーファイルで利用されるサイトキーファイルを暗号化するための「サイトパスフレーズ」、データベースファイルなどで利用されるローカルキーファイルを暗号化するための「ローカルパスフレーズ」が必要になります。各パスフレーズを設定するために、/etc/tripwireディレクトリにあるtwinstall.shというスクリプトを実行します。

# /etc/tripwire/twinstall.sh

　スクリプトを実行したら、表示される指示に従って設定を進めます。初めにサイトキーファイルのパスフレーズ、次にローカルキーファイルを入力します。それぞれ確認用の入力も求められるので2回ずつ入力することになります。これが終わると、先に設定したサイトパスフレーズの入力が2回必要になります。画面の指示をよく見れば特に難しくありません。

　設定が終わったら、/etc/tripwireディレクトリに以下の2つのキーファイルが作成されていることを確認しましょう。