tripwire設定

CentOS Stream 8
2021.02.18

tripwireを設定してみる
インストールについては、tripwireインストールを参照すること


①tripwire初期設定

tripwire-setup-keyfiles

下記の通り何度かサイトパスとローカルパスを聞かれるので、入力する
Enter the site keyfile passphrase: 
Enter the local keyfile passphrase:

パスワードは下記サイトなどを使用してランダムな文字列で作成すると良い


パスワード生成(パスワード作成)ツール
パスワード生成(パスワード作成)するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成(自動作成)することができるツールです。利用は完全無料です。
www.luft.co.jp


②tripwire設定ファイルを作成

vi /etc/tripwire/twcfg.txt
LOOSEDIRECTORYCHECKING =true
↓
LOOSEDIRECTORYCHECKING =false

REPORTLEVEL   =3
↓
REPORTLEVEL   =4


③暗号証明書版のTripwire設定ファイルを作成

twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

Please enter your site passphrase:
↑サイトパスを入力
rm /etc/tripwire/twcfg.txt


④ポリシーファイル設定

vi /etc/tripwire/twpolmake.pl
#!/usr/bin/perl
# Tripwire Policy File customize tool
# ----------------------------------------------------------------
# Copyright (C) 2003 Hiroaki Izumi
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
# ----------------------------------------------------------------
# Usage:
#    perl twpolmake.pl {Pol file}
# ----------------------------------------------------------------
#
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while (<POL>) {
    chomp;
    if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
        $myhost = `hostname` ; chomp($myhost) ;
        if ($thost ne $myhost) {
            $_="HOSTNAME=\"$myhost\";" ;
        }
    }
    elsif ( /^{/ ) {
        $INRULE=1 ;
    }
    elsif ( /^}/ ) {
        $INRULE=0 ;
    }
    elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
        $ret = ($sharp =~ s/\#//g) ;
        if ($tpath eq '/sbin/e2fsadm' ) {
            $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
        }
        if (! -s $tpath) {
            $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
        }
        else {
            $_ = "$sharp$tpath$cond" ;
        }
    }
    print "$_\n" ;
}
close(POL) ;
perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new
echo ! "/var/lib/tripwire/`hostname`.twd ;" >> /etc/tripwire/twpol.txt.new
echo ! "/tmp/tripwire.log ;" >> /etc/tripwire/twpol.txt.new
twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new
Please enter your site passphrase:
↑サイトパス入力
rm /etc/tripwire/twpol.txt*


⑤データベース作成

tripwire -m i -s -c /etc/tripwire/tw.cfg
Please enter your local passphrase:
↑ローカルパス入力


⑥tripwire実行

tripwire -m c -s -c /etc/tripwire/tw.cfg

Total violations found:  0
↑0になっていることを確認
testファイルを作成して、変更検知されることを確認する
echo test > test.txt
tripwire -m c -s -c /etc/tripwire/tw.cfg

Total violations found:  1
↑1になっていることを確認
rm test.txt


⑦定期自動実行設定

dnf install tmpwatch
vi tripwire.sh
#!/bin/bash
# 既存のTripwire定期自動実行設定削除
rm -f /etc/cron.daily/tripwire-check

# パスフレーズ設定
LOCALPASS=
↑ローカルパス入力

SITEPASS=
↑サイトパス入力

TRIPWIRE=/usr/sbin/tripwire
TWADMIN=/usr/sbin/twadmin
TWPRINT=/usr/sbin/twprint
cd /etc/tripwire

# Tripwireチェック実行
# ※ファイル変更を検知した場合のみroot宛にサマリをメールする
rm -f /var/lib/tripwire/report/`hostname`-`date +%Y%m%d`-*.twr
${TRIPWIRE} -m c -s -c tw.cfg > /tmp/tripwire.log
if [ $(grep "Total violations found" /tmp/tripwire.log | awk '{print $4}') -ne 0 ]; then
    ${TWPRINT} -m r --report-level 1 -c tw.cfg -r /var/lib/tripwire/report/`hostname`-`date +%Y%m%d`-*.twr | \
    mail -s "Tripwire Integrity Check Report from `hostname`" root
fi

# Tripwireチェック実行結果(過去分)削除
# ※過去90日分保管
tmpwatch -m 2160 /var/lib/tripwire/report

# ポリシーファイル最新化
${TWADMIN} -m p -c tw.cfg -p tw.pol -S site.key > twpol.txt
perl twpolmake.pl twpol.txt > twpol.txt.new
${TWADMIN} -m P -c tw.cfg -p tw.pol -S site.key -Q $SITEPASS twpol.txt.new > /dev/null
rm -f twpol.txt* *.bak

# データベース最新化
rm -f /var/lib/tripwire/*.twd*
${TRIPWIRE} -m i -s -c tw.cfg -P $LOCALPASS
chmod 700 tripwire.sh
echo "0 3 * * * root /root/tripwire.sh" > /etc/cron.d/tripwire


⑧ポリシーファイルの更新

日々root宛に届くメールを確認し、定期的に自身が更新をかけているファイルが検知されている場合は除外するよう設定する

■参考

ファイル改竄検知システム導入(Tripwire) - CentOSで自宅サーバー構築
ファイル改竄検知システム導入(Tripwire)
centossrv.com

コメント

タイトルとURLをコピーしました