tripwireはトリンプに似ている

そんなことはどうでもいいとして、tripwireのメモ

<参考>
http://fedorasrv.com/tripwire.shtml

<重要>
「twadmin」コマンドは「/usr/sbin/twadmin」と置き換えて作業する。

手順

  • インストール

[root@linux ~]# yum -y install tripwire

  • サイトキー作成

[root@fedora ~]# twadmin -m G -S /etc/tripwire/site.key

  • ローカルキー作成

[root@fedora ~]# twadmin -m G -L /etc/tripwire/`hostname`-local.key

  • Tripwire設定ファイル(テキスト版)作成

[root@fedora ~]# vi /etc/tripwire/twcfg.txt

  • Tripwire設定ファイル(暗号署名版)作成

[root@fedora ~]# twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

  • ポリシーファイル編集

[root@fedora ~]# vi /etc/tripwire/twpol.txt

  • 最適化済ポリシーファイルを元にポリシーファイル(暗号署名版)作成

[root@fedora ~]# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt
perlは入れていないから最適化はなし。

  • Tripwireデータベース作成

[root@fedora ~]# tripwire -m i -s -c /etc/tripwire/tw.cfg

ここでエラーが出る

「tripwire warning」でぐぐると結果がみつかるっぽい。

続き
  • エラーが出てきたら、twpol.txtを編集する。

[root@fedora ~]# /usr/sbin/tripwire -m i -s -c /etc/tripwire/tw.cfg Please enter your local passphrase:
### Warning: File system error.
### Filename: /sbin/resize_reiserfs
### (エラーがずらずら・・・)
### Continuing...

[root@fedora ~]# vi /etc/tripwire/twpol.txt

# /sbin/resize_reiserfs

こんな感じでコメントアウト(と言っていいのか?)を行う。

そしたらまたポリシーファイルを作成する

  • 最適化済ポリシーファイルを元にポリシーファイル(暗号署名版)作成

[root@fedora ~]# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

  • Tripwireデータベース作成

[root@fedora ~]# tripwire -m i -s -c /etc/tripwire/tw.cfg

エラーがなくなるまで繰り返す。

  • Tripwire確認

[root@fedora ~]# tripwire -m c -s -c /etc/tripwire/tw.cfg


締めの手順

  • Tripwire定期自動実行設定

[root@fedora ~]# rm -f /etc/cron.daily/tripwire-check
 ← デフォルトのTripwire定期自動実行スクリプト削除(yumでインストールした場合のみ)

[root@fedora ~]# vi tripwire.sh ← Tripwire定期自動実行スクリプト作成
#!/bin/bash

PATH=/usr/sbin:/usr/bin:/bin

# パスフレーズ設定
LOCALPASS=xxxxxxxx # ローカルパスフレーズ
SITEPASS=xxxxxxxx # サイトパスフレーズ

cd /etc/tripwire

# Tripwireチェック実行
tripwire -m c -s -c tw.cfg|mail -s "Tripwire(R) Integrity Check Report in `hostname`" root

# ポリシーファイル最新化
twadmin -m p -c tw.cfg -p tw.pol -S site.key > twpol.txt
twadmin -m P -c tw.cfg -p tw.pol -S site.key -Q $SITEPASS twpol.txt > /dev/null
rm -f twpol.txt*
rm -f *.bak

# データベース最新化
rm -f /var/lib/tripwire/*.twd*
tripwire -m i -s -c tw.cfg -P $LOCALPASS

[root@fedora ~]# chmod 700 tripwire.sh ← Tripwire定期自動実行スクリプトへ実行権限付加

[root@fedora ~]# crontab -e ← cron編集
00 03 * * * /root/tripwire.sh ← 追加(毎日3:00にTripwire定期実行スクリプトを実行する)