Tweet

データベースのアップデート

　整合性チェックで監査対象のファイルに変更が発見されたからといって、必ずしも不正な変更というわけではありません。Web関連のコンテンツファイルであれば、定期的に変更されることもあります。

　再度整合性チェックを行うと、また違反が発見されるでしょう。これは当然の結果なのです。これまで説明してきたように、Tripwireは「ある時期に作成された」データベースファイルと、「整合性チェック時」のファイルの内容を比較するのです。つまり、データベースファイルを更新しない限り、何度でも違反として検出され続けるというわけです。

　意図的なファイル変更を行った場合は、Tripwireの「データベースアップデートモード」を利用したデータベースのアップデートが必要になります。データベースのアップデートは、作成されたレポートファイルを基に行います。

　実際に作業を進めながら説明しましょう。まずは、再度/var/tmp/atmarkitファイルに対する監査を行い、違反が報告されることを確認します。確認したら、tripwireコマンドを以下のように実行します。

　すると、レポートファイルがvi（注）で開かれた状態で表示されます。

Tripwire(R) 2.3.0 Integrity Check Report Report generated by:          root Report created on:            Tue Apr  9 12:37:12 2002 Database last updated on:     Mon Apr  8 20:26:07 2002 ====================================================================== Report Summary: ====================================================================== Host name:                    atmarkit （中略） ---------------------------------------------------------------------- Rule Name: TestPolicy (/var/tmp/atmarkit) Severity Level: 0 ---------------------------------------------------------------------- Remove the "x" from the adjacent box to prevent updating the database with the new values for this object. Modified: [x] "/var/tmp/atmarkit"  ====================================================================== Object Detail: ====================================================================== （中略）    Modified object name:  /var/tmp/atmarkit   Property:        Expected                   Observed   -------------    -----------                -----------   Object Type      Regular File               Regular File   Device Number    770                        770   Inode Number     1186733                    1186733   Mode             -rw-r--r--                 -rw-r--r--   Num Links        1                          1   UID              root (0)                   root (0)   GID              root (0)                   root (0) * Size             931                        1083 * Modify Time      Mon Apr  8 20:25:41 2002   Tue Apr  9 12:37:03 2002   Blocks           8                          8 * CRC32            AsdXgr                     B9BiOR * MD5              AnFGlQAa6uTviRVQJIie0V     BU+dY6h5Vez7cunb9L7hA4 （以下略）

　レポートファイルには、のような部分があります。これが変更されたファイルです。ファイル名の前にあるチェックをオン（「x」が入力された状態）にしたまま保存・終了するとデータベースがアップデートされます。なお、保存後にローカルパスフレーズの入力を求められます。

　データベースのアップデートが終わったら再度整合性チェックを行い、違反が報告されないことを確認してください。

効率的な整合性チェック

■電子メールを利用した通知

　Tripwireでは、整合性チェックの結果を電子メールで通知することも可能です。

　前回、電子メールで通知するための設定ファイルやポリシーファイルの記述については説明しました。しかし、これだけでは電子メールで通知されません。整合性チェックの際に、次のようにオプションを指定する必要があります。

　電子メールでの通知では、レポートレベルは高くなくてもいいでしょう。違反の有無を確認できるだけでいいからです。違反が検出された際はきちんとレポートの内容を確認し、しかるべき対応を取りましょう。

■定期的なチェック

　cronに登録することで、定期的に整合性チェックを行うことができます。しかし、ファイルによっては頻繁に監査（注）したいものや1日1回程度でいいものがあるでしょう。

　前回も説明したとおり、Tripwireではポリシーファイル内のルールブロックごとに整合性のチェックを行うことができます。この機能を利用するといいでしょう。

　ルール名「htmlfiles」は10分に1回。それを含めた全ルールは1日1回、午前1時に実施する場合は次のように登録します。

2/2

Index ゼロから始めるLinuxセキュリティ

Page 1 レポートファイルの確認 　レポートファイルのどこを見るか？ 　ファイルの変更が検出されたら 　 Page 2 データベースのアップデート 効率的な整合性チェック 　電子メールを利用した通知 　定期的なチェック

連載 ゼロから始めるLinuxセキュリティ

	連載：習うより慣れろ！ iptablesテンプレート集（全4回） 初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう
	連載：ゼロから始めるLinuxセキュリティ（全11回） 奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見
	特集：WebDAV時代のセキュリティ対策［前編］ WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる
	特集：FreeS/WANによるIPSecの導入と運用［前編］ LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう
	特集：Linux以外のIPSecスタックとの相互接続［前編］ 別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる
	特集：sshでセキュアネットワーク サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる
	more

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード