편의상 존칭은 생략합니다.^^
소개 :
Tripwire에 관하여
Tripwire는 파일 무결성 보관 도구로, 이전에 생성된 데이터베이스에 저장된 정보와 지정된 파일과 디렉토리를 비교하는일을 한다.
Tripwire는 모든 변화를 감지하며 목록의 추가와 삭제도 포함한다. 일반적인 기반하에서 시스템 파일에 대하여 동작중일 경우 중요한
파일들의 어떤 변화도 감지할 수 있으며, 그 즉시 적절한 손해 정도를 측정할 수 있다.
시스템 관리자는 Tripwire가 이상무라는
보고를 하면, 주어진 파일 목록 중에는 마음대로 , 권한없이 수정된 파일이 없다는 것을 명백히 확신할 수 있다. - 참고 http://kltp.kldp.org/stories.php?story=00/07/19/9641120
http://tripwire.org/에서 각배포판에 맞는 rpm파일을 받아서
설치한다.
/etc/tripwire/twinstall.sh로 tripwire설치.
설치과정은 패스어구입력(사이트 및 로컬)단계로
어렵지 않으니 직접해보길 바란다.
설정파일 수정
/etc/tripwire/twpol.txt
/etc -> $(ReadOnly);
/bin -> $(ReadOnly);
/sbin ->
$(ReadOnly);
/usr/sbin -> $(ReadOnly);
위의 설정은 /etc , /bin , /sbin , /usr/sbin 디렉토리를 검사할 디렉토리로 추가
설치가 끝났으면 tripwire --init 명령으로 초기화를 한다(시스템 db작성 - 지금 만들어진 db파일로 파일 변조유무
판단)
기본설정은 시스템전체를 db에 담아두는건데 이렇게하면 시스템체크시 부하가 많고 시간도 많이걸린다.
그래서 특정 디렉토리(ex :
/etc /sbin /usr/sbin등만 검사하길 권장)
tripwire실행
tripwire --check로 파일시스템 무결성 검사
아래와 비슷한 결과가 나올것이다.
설정파일에서
수정한 디렉토리에 추가된 파일과 변경된 파일,
삭제된 파일등을 보여준다.
시스템에서 변경하는 파일이 아닌 파일이
변경됐거나
바이너리파일이 변경됐다면 시스템을 체크해볼필요가 있다.
Rule Name: sbin (/sbin)
Severity Level:
0
-------------------------------------------------------------------------------
Modified:
"/sbin/check_host"
-------------------------------------------------------------------------------
Rule
Name: sbin (/usr/sbin)
Severity Level:
0
-------------------------------------------------------------------------------
Added:
"/usr/sbin/ethereal"
"/usr/sbin/snmpd"
"/usr/sbin/adsl"
"/usr/sbin/snmptrapd"
"/usr/sbin/editcap"
"/usr/sbin/tethereal"
Modified:
"/usr/sbin"
"/usr/sbin/dns-keygen"
"/usr/sbin/dnssec-keygen"
"/usr/sbin/dnssec-makekeyset"
"/usr/sbin/dnssec-signkey"
"/usr/sbin/dnssec-signzone"
"/usr/sbin/in.telnetd"
"/usr/sbin/lwresd"
"/usr/sbin/named"
"/usr/sbin/named-bootconf"
"/usr/sbin/named-checkconf"
"/usr/sbin/named-checkzone"
"/usr/sbin/rndc"
"/usr/sbin/sendmail"
===============================================================================
Error
Report:
===============================================================================
No Errors
설정파일을 변경했거나 디렉토리를 추가 혹은 새설정파일을 적용하기위해선
twadmin --create-polfile
/etc/tripwire/twpol.txt
명령으로 설정파일을 갱신한다.
tripwire의 db파일
위치(rpm설치시)
/var/lib/tripwire/호스트이름.twd 파일 중요한 파일이니 타인이 보거나 삭제가 불가능하게 설정할 필요가
있다.
tripwire설치문서에는 쓰기가 불가능한 저장장치(cdr등)에 db파일을 넣고 시스템체크를 권장함.
관련 링크: http://tripwire.org/
'Security' 카테고리의 다른 글
| 센드메일 스팸메일 체크 (2) | 2001.08.28 |
|---|---|
| rpm 파일 변조확인 (0) | 2001.08.21 |
| ftp 와 telnet 사용자 제한 (0) | 2001.08.21 |
| Port Scan과 Ping Sweep (0) | 2001.08.17 |
| nmap 포트스캔 유틸리티 (0) | 2001.08.10 |