Tripwire 설치 & 활용

Tritwire 

Tripwire은 자신의 linux시스템을 외부의 크래커 공격과 내부의 악의적인 사용자의 공격으로부터 자신의 linux시스템을 지켜내는 마지노선과 같은 역할을 하는 프로그램이다. 자신의 시스템이 방화벽과 다른 보안수단으로 보안을 강화하고 있다고 하더라도 어느 순간 크래커나 내부사용자에 의해 시스템이 침투되어 질 수 있다. 침투한 크래커나 악의적인 내부사용자들은 다음을 위해 백도어를 만들어 놓거나, 시스템 파일을 변경해 놓거나, 아니면 지난번 야후나 아마존등 유명한 사이트을 공격할 때 사용되어진 DoS attack 프로그램등과 같은 악의적인 프로그램을 설치하여 크래커의 중간공격기지 역할을 하게 할 수도 있다.

이와 같은 침투로 인한 문제로부터 시스템을 보호하기 위해서 자신의 시스템의 전체적인 파일들이 자신이 처음 설치한 그대로 유지되고 있는가를 확인하기 위한 프로그램이 필요한데, 이러한 작업을 Tripwire가 해주게 된다. 즉 tripwire는 자신의 시스템 전체에 대해 디지털방식으로 ‘스냅사진’을 찍어 보관해두고, tripwire을 다시 실행시킬 때마다 전에 찍어둔 원본 ‘스냅사진’과 현재의 파일시스템을 비교함으로서 자신의 파일시스템의 변경사항을 알아낼 수 있게 해준다. 시스템의 변경사항이 시스템 관리자에 의한 것이라면 원본 ‘스냅사진’-database file-을 업데이트 해주면 되며, 시스템 관리자 자신에 의한 것이 아닌 불법적인 변경이라면 자신의 시스템이 크래커나 악의적인 내부사용자에 의해 변경되었다는 것을 알게 된다  — 리눅스 포탈에서 참조하였습니다

-> 설치!

1) 공식홈

http://www.tripwire.org

2) 참고
http://sourceforge.net/projects/tripwire/ // 소스다운로드
https://www.linux.co.kr/security/certcc/secu_certcc_07.htm
https://www.linux.co.kr/security/tripwire/

 

./configure –prefix=/usr/local/tripwire
make
make install
> 라이센스 다 읽고,, accept!!
Please type “accept” to indicate your acceptance of this
license agreement. [do not accept] accept

Continue with installation? [y/n] y
Enter the site keyfile passphrase: site passphrase 지정
Enter the local keyfile passphrase: local passphrase 지정
Please enter your site passphrase: site passphrese 입력

— 설치완료

 

-> 설치 후 기본 설정 ( /usr/local/tripwire 경로기준입니다)

:실행파일은 $경로/sbin 에 위치해있습니다. 상대경로 사용하였으니 참고하기바랍니다

vi $경로/etc/twcfg.txt

ROOT =/              << 이부분을 / 로 변경저장 ( 원하는 위치로 변경가능 )
POLFILE =/usr/local/tripwire/etc/tw.pol
DBFILE =/usr/local/tripwire/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/usr/local/tripwire/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/usr/local/tripwire/etc/site.key
LOCALKEYFILE =/usr/local/tripwire/etc/Msnote-local.key
EDITOR =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
MAILMETHOD =SENDMAIL
SYSLOGREPORTING =false
MAILPROGRAM =/usr/sbin/sendmail -oi -t

-> 변경 파일 적용

./twadmin –create-cfgfile –site-keyfile ../etc/site.key ../etc/twcfg.txt

Wrote configuration file: /usr/local/tripwire/etc/tw.cfg

vi $경로/etc/twpol.txt

> 설정 twpol.txt 파일은 자신의 시스템에 알맞게 설정하기바람. 세부설정은 기록하지않음.

-> 변경 파일 적용

./twadmin –create-polfile ../etc/twpol.txt

Wrote policy file: /usr/local/tripwire/etc/tw.pol

{ twcfg.txt  twpol.txt << 파일은 암호화되있지않기 때문에 삭제를 지향한다 ( 사본은 남겨주셈)}

 

->Tripwire 데이타베이스를 초기화하기 

./tripwire –init

The database was successfully generated.

Tripwire 옵션

Database Initialization: tripwire [-m i|–init] [options]
Integrity Checking: tripwire [-m c|–check] [object1 [object2…]]
Database Update: tripwire [-m u|–update]
Policy Update: tripwire [-m p|–update-policy] policyfile.txt
Test: tripwire [-m t|–test] –email address

  ./tripwire  –help    <=사용법을 보여준다.
  ./tripwire  -m c      <=시스템 변경을 검사한다. 시스템 체크 후 report/ 디렉토리로
*.twr파일로 결과가 저장된다.
  ./tripwire  -m u      <=위의 시스템 체크 후 데이타베이스(스냅사진)을 변경한다.
단, 크래커에 의한 변경이 아닌 자신에 의한 시스템 변경일 경우에만
업데이트를 한다.
./tripwire  -m  -u  -a  -r  ../report/호스트-년월일-시분초.twr
[예]./tripwire -m -u -a -r ../report/localhost-20000223-023354.twr

./tripwire  -m p      <=policy파일을 업데이트한다.
i.e) # ./tripwire -m p ../policy/twpol.txt

  ./tripwire  -m t        <=테스트 이메일을 보낸다.
i.e) # ./tripwire  -m t –email  root@localhost

Report 확인

-> 기본설정시 $경로/lib/tripwire/report/$hostname-$date.twr 파일을 확인할수 있다.

./twprint -m r — twrfile $report name 으로 확인가능

./twprint -m r — twrfile $report name > $name.txt 로 변환된 값을 저장가능

 

 

 

 

 

 

 

Leave your Comment

Your email address will not be published. Required fields are marked *