「Tripwire」の版間の差分
提供: セキュリティ
(→初期設定) |
|||
| 行11: | 行11: | ||
ファイルの変更、削除、パーミッションの変更などを管理者に報告します。 | ファイルの変更、削除、パーミッションの変更などを管理者に報告します。 | ||
== 注意点 == | == 注意点 == | ||
| − | [[ルートキット]] は、既存のコマンドをすり替えたり、[[バックドア]] を仕掛ける | + | [[ルートキット]] は、既存のコマンドをすり替えたり、[[バックドア]] を仕掛ける '''アプリケーションルートキット''' (Application Rootkit) と カーネルレベルで動作する '''カーネルルートキット''' (Kernel Rootkit) があります。 |
カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更を[[Tripwire]] で検出できません。 | カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更を[[Tripwire]] で検出できません。 | ||
2016年1月11日 (月) 21:16時点における最新版
Tripwire は、ファイル改竄を検知できます。
読み方
- Tripwire
- とりっぷわいや
概要
Tripwire は、ファイル改竄を検知できます。
監視したい対象のファイルやディレクトリの状態をデータベース化し、システムの今の状態をデータベースと比較し、変更がないか比較します。 ファイルの変更、削除、パーミッションの変更などを管理者に報告します。
注意点
ルートキット は、既存のコマンドをすり替えたり、バックドア を仕掛ける アプリケーションルートキット (Application Rootkit) と カーネルレベルで動作する カーネルルートキット (Kernel Rootkit) があります。
カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更をTripwire で検出できません。
導入までの流れ
- Tripwire のインストール
- Tripwire のポリシーファイルを作成する
- Tripwire のデータベースを構築する
- Tripwire を実行する
インストール
FreeBSDにインストールする場合
ports コレクションからインストールする場合
cd /usr/ports/security/tripwire sudo make install clean
pkgコマンドでインストールする場合
sudo pkg install tripwire
portmasterコマンドでインストールする場合
sudo portmaster -y -d /usr/ports/security/tripwire
portinstallコマンドでインストールする場合
sudo portinstall /usr/ports/security/tripwire
CentOSにインストールする場合
sudo yum -y install tripwire
初期設定
- 暗号化、署名鍵 の生成
- 設定ファイルの生成
- ポリシーファイルの生成
- データベースの新規作成
使い方
% tripwire --init % tripwire --check