- お知らせ -
  • 当wikiのプログラムコードの表示を直してみました(ついでに長い行があると全体が下にぶっ飛ぶのも修正)。不具合があればBBSまでご連絡下さい。

はじめに Edit

tirpwireは、重要なファイルなどが更新されたら、更新をメールで教えてくれます。
ホスト型IDSといわれるものです。

インスコ Edit

apt-get install tripwire

設定とか Edit

詳しいことは、こちらを見た方がいい。
http://www.atmarkit.co.jp/flinux/rensai/security08/security08a.html
あとは、この辺とか。
http://fumika.jp/nikki/2003/08/tripwire

設定 Edit

下の「テスト」のところを行ってみて、
ファイルが無いよーとか言うので、
エラーが出るファイルを設定ファイルを書き換え除外しておく。

設定ファイルは、twpol.txtなので、

sudo vi /etc/twpol.txt

として、編集する。

編集後は、

sudo twadmin -m P /etc/twpol.txt

として、設定をコンバート

設定ファイルの確認は、

sudo twadmin -m p | less

などとする。
編集が終わったら、下の「テスト」のところのように、データベースの再作成を行うこと。

設定ファイルを編集する際の注意 Edit

ファイルがないなどの、エラーが出た場合は、
該当箇所を

#hoge

のようにコメントアウトしてもよいが、
該当箇所がなく、ひとつのファイルだけを除外する場合

!hoge

として、除外指定をするとよい。

テスト Edit

sudo tripwire --init

で、データーベースを作成して、

sudo tripwire --check

で、チェックといったところ。

最初は、ファイルがないとかで、エラーとか出るはず。
エラーが出る場合は、上の「設定」を参考にtwpol.txtを弄る

ファイルを変更したときなどは、

sudo tripwire --check -I

とやって、変更点をデータベースに保存しておくこと。

参考リンク Edit




Front page   Edit Freeze Diff Backup Upload Copy Rename Reload   New Pages Search Recent changes   Help   RSS of recent changes
Last-modified: 2006-10-03 Tue 20:01:06 JST (4817d)