第8回 Tripwireによるホスト型IDSの構築
ファイルの改ざんに早く気付くことは極めて重要だ。Webコンテンツの改ざんはもちろん、コマンドを置き換えられてバックドアを仕掛けられることも考えられる。Tripwireは、こうした事態への即応体制を整えるための有用なツールだ。
大貫大輔
株式会社ラック
不正アクセス対策事業本部
2002/3/19
前回紹介したように、Tripwireはファイルの監査を行うホスト型IDSです。監査対象となるディレクトリやファイル属性のHASH値をデータベースに保存しておき、データベースと現在の属性を比較することで監査を行います。Tripwireでは、この監査を「整合性チェック」と呼びます。違反があった場合は、管理者に対してメールで通知する機能などもあります。
Tripwireの導入には、大きく分けて以下のような作業が発生します。
- Tripwireのインストール
- 設定ファイルの作成
- ポリシーファイルの作成
- ベースラインデータベースの作成
- 整合性チェック
- レポートのチェック
- ポリシーファイルの調整
ネットワーク型IDSと違い、ホスト型IDSはポリシーファイルが一度決まってしまえば、ホスト上で大きな変更がない限り、ポリシーファイルを変更する必要はそれほどありません。そこで、導入初期段階が非常に重要になってきます。大切なことは、Tripwireを導入する意味や目的をきちんと考えたうえで作業することです。
Tripwireのインストール
オープンソース版(無償)のTripwireはhttp://www.tripwire.org/にあります。ここには、
- tarボール(バイナリ+関連ファイル)
- RPM 3.0版(Red Hat Linux 5.x〜6.x用)
- RPM 4.0版(Red Hat Linux 7.x用)
が用意されているので、適当なディレクトリにダウンロードして展開、インストールします。
$ tar -zxvf tripwire-2.3-47.i386.tar.gz |
| RPM 4.0版の場合 |
/usr/sbin以下に実行ファイルなどがインストールされ、/etc/tripwireディレクトリが作成されます。ここで、/etc/tripwireにサンプルとなる設定ファイルやポリシーファイルがあることを確認してください。
しかし、rpmコマンドだけでインストール作業が完了したわけではありません。Tripwireでは、設定ファイルやポリシーファイルで利用されるサイトキーファイルを暗号化するための「サイトパスフレーズ」、データベースファイルなどで利用されるローカルキーファイルを暗号化するための「ローカルパスフレーズ」が必要になります。各パスフレーズを設定するために、/etc/tripwireディレクトリにあるtwinstall.shというスクリプトを実行します。
# /etc/tripwire/twinstall.sh |
スクリプトを実行したら、表示される指示に従って設定を進めます。初めにサイトキーファイルのパスフレーズ、次にローカルキーファイルを入力します。それぞれ確認用の入力も求められるので2回ずつ入力することになります。これが終わると、先に設定したサイトパスフレーズの入力が2回必要になります。画面の指示をよく見れば特に難しくありません。
設定が終わったら、/etc/tripwireディレクトリに以下の2つのキーファイルが作成されていることを確認しましょう。
- ホスト名-local.key
- site.key
|
1/3
|
 |
|
||||||
|
||||||
 |
連載 ゼロから始めるLinuxセキュリティ |
| Linux Squareフォーラム セキュリティ関連記事 |
 |
連載:習うより慣れろ! iptablesテンプレート集(全4回) 初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう |
|
連載:ゼロから始めるLinuxセキュリティ(全11回) 奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見 |
|
特集:WebDAV時代のセキュリティ対策[前編] WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる |
|
特集:FreeS/WANによるIPSecの導入と運用[前編] LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう |
|
特集:Linux以外のIPSecスタックとの相互接続[前編] 別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる |
|
特集:sshでセキュアネットワーク サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる |
|
- モバイル端末とともに進化するMeeGo〜実践編 (2010/7/27)
MeeGo 1.0のインストール手順に加え、基本機能やユーザーインターフェイス、インストール後の使い方を説明します - モバイル端末とともに進化するMeeGo〜解説編 (2010/7/20)
ハンドセットやネットブック、タブレットなど幅広いモバイルデバイスをターゲットにした「MeeGo」。その特徴を紹介します - iptablesでできるDoS/DDoS対策 (2010/7/14)
リクエスト応答回数に制限を設け、サーバを利用不能に陥れるDoS/DDoS攻撃に対策する方法を紹介します - Linux Tips (2010/7/7)
− IPAexフォントを使うには
− yumで「Cannot retrieve……」エラーが出るときは
− GUIでアンチウイルスソフトClamAVを使うには
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜SQL編〜
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。