11/10 大阪で開催された『LPIC レベル3 303 Security 技術解説無料セミナー』で tripwire が解説されていたので、 せっかくなので Raspberry Pi に入れてみます。
tripwire は、ファイル改竄などを検出するためのツールです。
ある時点のファイルの状態をデータベースに保存しておいて 現時点の状態と比較することができます。
tripwire の設定ファイルやデータベース自体が改ざんされないように 認証用のキーを作成する必要があるのですが 最近は、インストールの流れで作成することができます。
apt-get します。
$ sudo apt-get update $ sudo apt-get install tripwire
途中、サイトキーを作成するためのパスフレーズを求められます。
サイトキーは、設定ファイルを改ざんされないためのキーです。
ローカルキーを作成するためのパスフレーズを求められます。
ローカルキーは、データベースを改ざんされないために使用するキーです。
インストールが終了したら、データベースを初期化します。 これによって、「この時点」のファイルの情報をデータベースに保存します。
$ sudo tripwire --init
Please enter your local passphrase:
ローカルキーのパスフレーズが求められます。
データベースに保存した情報と、「現時点」のファイルの情報を 比較するには "--check" オプションを使用します。
$ sudo tripwire --check
レポートが表示されます。
レポートを再度表示するには、比較時に生成された twr ファイルを読み込みます。
$ cd /var/lib/tripwire/report $ sudo twprint --print-report --twrfile raspberrypi-20121115-211440.twr
「比較した時点」のファイルの情報でデータベースを更新するには、 比較時に生成された twr ファイルを使って以下のようにコマンドを実行します。
$ cd /var/lib/tripwire/report $ sudo tripwire --update -a --twrfile raspberrypi-20121115-211440.twr Please enter your local passphrase:
データベースの更新なのでやはりローカルキーのパスフレーズが求められます。