nDiki

1999年1月26日 (火)

orion に Tripwire ASR 1.3 をインストール

Tripwire Security Systems, Inc. より Tripwire ASR 1.3 (tripwire-1.30-1.tar.gz) を入手し orion にインストール。 なお ASR は Academic Source Release の略。

tripwire はシステム中の実行可能ファイル、設定ファイルなど指定したファイルの変更があったかどうかを検証するツール。 システムがクラックされた場合、裏口を開ける機能をつけくわえた実行可能ファイルなどがインストールされたり、すでにあるものを置き換えたりされる可能性がある。 tripwire は事前に作成したファイルの情報のデータベースと、現在のファイルの情報を比較することによってこのような変更を検出することができる。

なおここでは、以下の環境、条件でインストール、設定を行った。

まずはパッケージ展開。適当な作業ディレクトリ上で。

 $tar zxvf tripwire-1.30-1.tar.gz
 $cd tripwire-1.30-1

次に Makefile の編集。 以下の2つの変数を値を書き換える。

 DESTDIR = /MO/tripwire/bin
 DATADIR = /MO/tripwire/var

次に OS 毎の設定ファイル。Ported をみると, conf-linux.h を使うようにかいてあるが、みあたらないので conf-sunos-4.1.h で代用する。

$emacs ./configs/conf-sunos-4.1.h

以下の通り変更する。

 #define DIRENT
 を
 #undef DIRENT
 に

最後に include/config.h を編集する。

 $emacs include/config.h

ここでは、os 別のインクルードファイルを読み込むようにするのと、各種ファイルへのパスを設定。

 #include "../configs/conf-svr4.h"
 を
 #include "../configs/conf-sunos-4.1.h"
 に。また以下の変数の値を変更。
 #define CONFIG_PATH "/MO/tripwire/etc"
 #define DATABASE_PATH "/MO/tripwire/var"

そして make。

 $make
 $make test

次に MO を準備する。 マウントする前にシングルユーザモードにし、インストール、ならびにデータベース作業中に他の誰かが悪行をできないようにしておく。

 $su
 #mkesfs /dev/sdb
 #mkdir /MO
 #init S
 #mount -t ext2 /dev/sdb /MO

そしてインストール

 #make install
 #mkdir /MO/tripwire/etc
 #cp configs/tw.conf.linux /MO/tripwire/etc/tw.config
 #emacs /MO/tripwire/etc/tw.config

とりあえず tw.config には自分でコンパイルしたカーネルファイルの指定を追加しておく。

そしてここから実際に使用。 まずは、現在のファイルの情報に関するデータベースを作成する。 終了すると、tripwire を実行したディレクトリに databases/tw.db_orion が作成される(orion の部分はホスト名がはいる)。 これを /MO/tripwire/var に移動しておく。

 #cd /MO/tripwire/bin
 #tripwire -v -initialize
 #mv databases/tw.db_orion /MO/tripwire/var

以上が終了したら、一旦 MO ディスクを抜き、書き込み禁止にしておく。 そしてマルチユーザーモードに戻す。 リブートしてしまう。

 #cd /
 #umount /MO
 #sync; sync; shutdown -r now

とりあえず検証してみる。Read-only でマウントし /MO/tripwire/bin/tripwire を実行する。

 #mount -t ext2 -r /dev/sdb /MO
 #/MO/tripwire/bin/tripwire

一応何も変更は検出されないはず。 と思ったら、いくつか追加されたファイルと変更されたファイルが検出。 モジュールの依存関係ファイルやら何やら。 これらのファイルはおいおい設定でチェックしないようにしなければ。

今後は cron 等で定期的にチェックするようにする設定を行う必要がある。 今日はもう遅いのでやめ。

なお本来は、tripwire のインストール場所、ファイルの位置などはできるだけわかりにくいようにする必要がある。 公開などしてはいけない(ここであくまでも例で、具体的な位置は異なっている)。

  • UNIX Magazine 96/7 pp.93-101
  • LINUX JAPAN Vol.5
スポンサード リンク
[ 1月26日全て ]

About Me

Naney Naney (なにい)です。株式会社ミクシィで SNS 事業の部長をしています。

nDiki1999年1月に始めたコンピュータ日誌を前身とする NaneyWeb 日記(兼パーソナルナレッジベース)です。ちょっとしたノートは nNote にあります。

※内容は個人的見解であり所属組織とは関係ありません。

月別インデックス
Process Time: 0.1892s / load averages: 0.50, 0.88, 0.75
nDiki by WATANABE Yoshimasa (Naney)
Powered by DiKicker