Tripwireといえば、よくLinuxで利用されているファイル改ざん検知システムだ。
今回は、CentOS 7にこのTripwireをインストールしてみることにする。

1.インストール

まずは、yumでインストールをしてみることにする。
yumでインストールする場合は、epelのリポジトリからインストールする必要があるので、こちらを参考に設定しておくこと。

yum install tripwire --enablerepo=epel
[root@test-centos7 ~]# yum install tripwire --enablerepo=epel
読み込んだプラグイン:etckeeper, fastestmirror
base                                                                                        | 3.6 kB  00:00:00
epel/x86_64/metalink                                                                        | 4.3 kB  00:00:00
epel                                                                                        | 4.4 kB  00:00:00
extras                                                                                      | 3.4 kB  00:00:00
puppetlabs-deps                                                                             | 2.5 kB  00:00:00
puppetlabs-products                                                                         | 2.5 kB  00:00:00
updates                                                                                     | 3.4 kB  00:00:00
epel/x86_64/primary_db                                                                      | 4.2 MB  00:00:00
(1/2): epel/x86_64/updateinfo                                                               | 372 kB  00:00:00
(2/2): epel/x86_64/pkgtags                                                                  | 1.4 MB  00:00:00
Loading mirror speeds from cached hostfile
 * base: ftp.tsukuba.wide.ad.jp
 * epel: ftp.kddilabs.jp
 * extras: ftp.tsukuba.wide.ad.jp
 * updates: ftp.tsukuba.wide.ad.jp
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ tripwire.x86_64 0:2.4.2.2-6.el7 を インストール
--> 依存性解決を終了しました。

依存性を解決しました

===================================================================================================================
 Package                    アーキテクチャー         バージョン                       リポジトリー            容量
===================================================================================================================
インストール中:
 tripwire                   x86_64                   2.4.2.2-6.el7                    epel                   1.0 M

トランザクションの要約
===================================================================================================================
インストール  1 パッケージ

総ダウンロード容量: 1.0 M
インストール容量: 4.1 M
Is this ok [y/d/N]: y
Downloading packages:
tripwire-2.4.2.2-6.el7.x86_64.rpm                                                           | 1.0 MB  00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
etckeeper: pre transaction commit
  インストール中          : tripwire-2.4.2.2-6.el7.x86_64                                                      1/1
etckeeper: post transaction commit

*** Please tell me who you are.

Run

  git config --global user.email "you@example.com"
  git config --global user.name "Your Name"

to set your account's default identity.
Omit --global to set the identity only in this repository.

fatal: unable to auto-detect email address (got 'root@test-centos7.(none)')
warning: etckeeper failed to commit changes in /etc using git
  検証中                  : tripwire-2.4.2.2-6.el7.x86_64                                                      1/1

インストール:
  tripwire.x86_64 0:2.4.2.2-6.el7

完了しました!

これで、インストールが完了する。
yumを利用出来ない環境の場合、ソースからコンパイルしてインストールする。
なお、ソースの展開時に事前にbzip2をインストールしておく必要があるので注意。

wget http://downloads.sourceforge.net/project/tripwire/tripwire-src/tripwire-2.4.2.2/tripwire-2.4.2.2-src.tar.bz2
tar xjvf tripwire-2.4.2.2-src.tar.bz2
cd tripwire-2.4.2.2-src
sed -i -e 's/while (!Equal(g\[i1\], this->Zero()))/while (!this->Equal(g\[i1\], this->Zero()))/p' src/cryptlib/algebra.h
sed -i -e '/^#include "stdtwadmin.h"/i #include <unistd.h>' src/twadmin/twadmincl.cpp
./configure --prefix=/usr/local/tripwire sysconfdir=/etc/tripwire
make
make install

make時に大量の警告メッセージが出力されるが、コンパイル自体はできているので気にしない事。
make installを行うと、以下のように対話形式で回答していくことになる。

…
Press ENTER to view the License Agreement. ←[Enter]キーを押下する

…
license agreement. [do not accept] ←[accept]と入力する

…
Continue with installation? [y/n] ←[y]キーを入力する

…
Enter the site keyfile passphrase: ←任意のサイトパスフレーズを入力
Verify the site keyfile passphrase: ←再入力

…
Enter the local keyfile passphrase: ←任意のローカルパスフレーズを入力
Verify the local keyfile passphrase: ←再入力
…

これで、ソースからのコンパイル、インストールは完了した。
ただ、tripwireのコマンドへのPATHは通っていないので、以下のコマンドでPATHが通るようにしておく。

cd
echo PATH=$PATH:/usr/local/tripwire/sbin >> .bashrc ; source .bashrc

2.動作設定

さて、インストールはできたので、実際にTripwireの動作設定を行ってみよう。
Tripwireの設定は、基本的には「/etc/tripwire/twcfg.txt」というファイルをtwadminコマンドで読み込ませて動作設定バイナリファイル「tw.cfg」を作成する、というもの。まず、「/etc/tripwire/twcfg.txt」の以下の2箇所を変更しておく。

/etc/tripwire/twcfg.txt

ROOT =/usr/local/tripwire/sbin
POLFILE =/etc/tripwire/tw.pol
DBFILE =/usr/local/tripwire/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/usr/local/tripwire/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/test-centos7-local.key
EDITOR =/usr/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =true
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =4
MAILMETHOD =SENDMAIL
SYSLOGREPORTING =false
MAILPROGRAM =/usr/sbin/sendmail -oi -t

それぞれの項目は以下のようになっている。

  • LOOSEDIRECTORYCHECKING … ファイルの変更時に、親ディレクトリの変更を通知させないように設定
  • REPORTLEVEL … ファイル変更通知のレベル(4が最大)

「/etc/tripwire/twcfg.txt」の変更後、twadminコマンドで「/etc/tripwire/tw.cfg」の作成を行う。

twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

実際に設定した時の内容がこちら。

[root@test-centos7 ~]# twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
Please enter your site passphrase: ←インストール時に設定したサイトパスフレーズを入力
Wrote configuration file: /etc/tripwire/tw.cfg
[root@test-centos7 ~]#

これで、「/etc/tripwire/tw.cfg」の作成ができた。
なお、以下のコマンドで「/etc/tripwire/tw.cfg」から「/etc/tripwire/twcfg.txt」を復元することもできる。

twadmin -m f -c /etc/tripwire/tw.cfg > /etc/tripwire/twcfg.txt

3.監視対象ファイルの設定

Tripwireでは、ポリシーファイルを元にファイルのデータベースを作成し、そのデータベースの内容と現状のファイルの状態を比較してファイルが変更された事を検知する仕組みになっている。
ポリシーファイルの記述ルールについては、こちらを参照。

なお、デフォルトのポリシーファイルだと、当たり前だが導入する環境に最適化されて作られていないので、監視するファイルがそもそも存在していなかったりする。今回はこのデフォルトのポリシーファイルで、存在していないファイルの監視を除外(コメントアウト)して使いまわそうと思うので、こちらで作成されているPerlスクリプトを利用することにする。
以下の場所に、Perlスクリプトを作成する。

/etc/tripwire/twpolmake.pl

#!/usr/bin/perl
# Tripwire Policy File customize tool
# ----------------------------------------------------------------
# Copyright (C) 2003 Hiroaki Izumi
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
# ----------------------------------------------------------------
# Usage:
#    perl twpolmake.pl {Pol file}
# ----------------------------------------------------------------
#
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while (<POL>) {
    chomp;
    if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
        $myhost = `hostname` ; chomp($myhost) ;
        if ($thost ne $myhost) {
            $_="HOSTNAME=\"$myhost\";" ;
        }
    }
    elsif ( /^{/ ) {
        $INRULE=1 ;
    }
    elsif ( /^}/ ) {
        $INRULE=0 ;
    }
    elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
        $ret = ($sharp =~ s/\#//g) ;
        if ($tpath eq '/sbin/e2fsadm' ) {
            $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
        }
        if (! -s $tpath) {
            $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
        }
        else {
            $_ = "$sharp$tpath$cond" ;
        }
    }
    print "$_\n" ;
}
close(POL) ;

後は、スクリプトファイルを実行してその環境にあるファイルのみを監視するポリシーファイルの作成を行う。

perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new
twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new

上記twadminコマンドを実行すると、またサイトパスフレーズを聞かれるので入力すること。

[root@test-centos7 ~]# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new
Please enter your site passphrase:
Wrote policy file: /etc/tripwire/tw.pol

これで、データベースの元になるポリシーファイルが作成出来た。
次に、このポリシーファイルを元にデータベースを作成する。

tripwire -m i -s -c /etc/tripwire/tw.cfg
[root@test-centos7 ~]# tripwire -m i -s -c /etc/tripwire/tw.cfg
Please enter your local passphrase: ←ローカルパスフレーズを入力する
[root@test-centos7 ~]#

これで、監視対象を保持するデータベースが作成できた。

4.監視対象ファイルの設定

さて、それでは実際にTripwireで差分の確認をさせてみよう。
Tripwireでは、以下のようにコマンドを実行する事で差分チェックを行う。

tripwire -m c -s -c /etc/tripwire/tw.cfg
[root@test-centos7 ~]# tripwire -m c -s -c /etc/tripwire/tw.cfg
Open Source Tripwire(R) 2.4.2.2 Integrity Check Report

Report generated by:          root
Report created on:            2015年05月08日 14時27分55秒
Database last updated on:     Never

===============================================================================
Report Summary:
===============================================================================

Host name:                    test-centos7
Host IP address:              192.168.0.245
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /usr/local/tripwire/lib/tripwire/test-centos7.twd
Command line used:            tripwire -m c -s -c /etc/tripwire/tw.cfg

===============================================================================
Rule Summary:
===============================================================================

-------------------------------------------------------------------------------
  Section: Unix File System
-------------------------------------------------------------------------------

  Rule Name                       Severity Level    Added    Removed  Modified
  ---------                       --------------    -----    -------  --------
  Monitor Filesystems             0                 0        0        0
  User Binaries and Libraries     0                 0        0        0
  Tripwire Binaries               0                 0        0        0
* Tripwire Data Files             0                 1        0        0
  OS Binaries and Libraries       0                 0        0        0
  Temporary Directories           0                 0        0        0
  Global Configuration Files      0                 0        0        0
  System Boot Changes             0                 0        0        0
  RPM Checksum Files              0                 0        0        0
  OS Boot Files and Mount Points  0                 0        0        0
  OS Devices and Misc Directories 0                 0        0        0
* Root Directory and Files        0                 0        0        3

Total objects scanned:  83777
Total violations found:  4

===============================================================================
Object Summary:
===============================================================================

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Rule Name: Tripwire Data Files (/usr/local/tripwire/lib/tripwire)
Severity Level: 0
-------------------------------------------------------------------------------

Added:
"/usr/local/tripwire/lib/tripwire/test-centos7.twd"

-------------------------------------------------------------------------------
Rule Name: Root Directory and Files (/root)
Severity Level: 0
-------------------------------------------------------------------------------

Modified:
"/root"
"/root/.script_20150508_085950.log"
"/root/script_20150508_085950.log"

===============================================================================
Error Report:
===============================================================================

No Errors

-------------------------------------------------------------------------------
*** End of report ***

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use --version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.

以降、定期的にチェックをさせる場合はcronに設定しておくと良いだろう。