BACKRUSH 유닉스명령 다음 자료실 Ascii Table 원격접속 달력,시간 프로세스 쉘

지하철노선 RFC문서 SUN FAQ SUN FAQ1 C메뉴얼 PHP메뉴얼 너구리 아스키월드 아이피서치

글쓴이: sec

tripwire 활용

Tripwire

Tripwire는 Purdue University에서 제작한 화일과 디렉토리의 무결성(integrity)를 검사하는 도구이다. 이 유틸리티는 이전에 만들어진 데이터베이스에 저장된 정보와 현재 존재하는 화일과 디렉토리의 정보를 비교한다. 그 결과로 나오는 모든 다른 점들을 logging한다. 시스템 관리자는 Tripwire를 통하여 확인되지 않은 누군가(cracker)에 의하여 화일이나 디렉토리가 수정되었는지 그렇지 않았는지에 대하여 좀 더 확신을 가질 수 있게 된다.

ftp://coast.cs.purdue.edu/pub/COAST/Tripwire/tripwire-1.2.tar.Z

에서 구할 수 있다.

1) 설치는

README 를 읽어 본다.
Makefile에서 다음 사항을 알맞게 수정한다.
DESTDIR 실행 화일이 저장될 디렉토리
MANDIR 메뉴얼이 설치될 디렉토리

./configs 디렉토리에 있는 conf-<OS>.h라는 화일을 찾아서 자신의 시스템에 해당하는 황일이 있는지 살펴보고 ./include/config.h 화일에 그 헤더 화일을 include 한다.
./include/config.h 화일에서 Tripwire의 설정 화일들의 경로와 이름을 지정한다. 그리고 경로를 확인한다.
./configs 디렉토리에서 tw.conf.<OS> 화일을 찾아 자신의 시스템에 맞게 수정 한후 tw.config란 화일명으로 copy한다.
모니터하고 싶은 화일을 tw.config에 추가 시킨다.
tw.config 화일을 ./include/config.h화일의 99, 100번째 줄에 표시된 위치로 옮긴다.
make라고 타이핑하면 실행 화일들이 만들어 진다.
2) 실행

Tripwire는 데이타베이스 생성, 무결성 조사, 데이타베이스 갱신, 대화식 갱신의 4가지 모드로 작동된다. 무결성 조사를 위해서는 먼저 데이타베이스가 생성 되어 있어야 한다. 데이타베이스를 생성하려면 먼저 tw.conf를 편집하여야 한다.

자신이 지켜보기를 원하는 모든 화일들을 tw.conf에 적는다. 이 설정 화일의 문법은 화일 맨 첫 부분이나 메뉴얼 페이지에 나와 있으니 참고하기 바란다. 편집이 끝나면 다음과 같이 초기화를 해준다.

감시할 화일들의 signature 목록을 만드는 부분, 다음 명령으로 작동한다.
% tripwire -initialize

실행시킨 위치에서 데이타베이스가 생성되고 그안에 te.db_hostname 형태의 데이타베이스가 만들어 진다.
이 화일의 위치가 ./include/config.h 화일의 DATABASE_PATH에 표시된 위치와 다르면 표시된 위치로 옮겨준다.
그 다음에는 tripwire를 타이핑함으로써 무결성을 조사할 수 있다.
다음은 주요 옵션이다.

-initialize 데이타베이스를 생성시킨다.
-interactive 대화식으로 무결성를 조사한다.
-d datavasefile 데이타베이스 화일을 정해준다.
-c configfile 설정화일을 정해준다
-update entry 주어진 entry를 갱신해 준다.
3) 사용 예

info tripwire > tripwire -initialize
### Warning: creating ./databases directory!
###
### Phase 1: Reading configuration file
### Phase 2: Generating file list
tripwire: /.rhosts: No such file or directory
tripwire: /.profile: No such file or directory
tripwire: /.logout: No such file or directory
tripwire: /.forward: No such file or directory
tripwire: /.netrc: No such file or directory
tripwire: /etc/dfs/sharetab: No such file or directory
tripwire: /etc/hosts.equiv: No such file or directory
tripwire: /etc/rmtab: No such file or directory
tripwire: /usr/bin/su: No such file or directory
### Phase 3: Creating file information database
###
### Warning: Database file placed in ./databases/tw.db_info.
###
### Make sure to move this file file and the configuration
### to secure media!
###
### (Tripwire expects to find it in '/usr/adm/tripwire/databases'.)
info tripwire >
info tripwire > tripwire
### Phase 1: Reading configuration file
### Phase 2: Generating file list
/usr/local/bin/tripwire: /.rhosts: No such file or directory
/usr/local/bin/tripwire: /.profile: No such file or directory
/usr/local/bin/tripwire: /.logout: No such file or directory
/usr/local/bin/tripwire: /.forward: No such file or directory
/usr/local/bin/tripwire: /.netrc: No such file or directory
/usr/local/bin/tripwire: /etc/dfs/sharetab: No such file or directory
/usr/local/bin/tripwire: /etc/hosts.equiv: No such file or directory
/usr/local/bin/tripwire: /etc/rmtab: No such file or directory
/usr/local/bin/tripwire: /usr/bin/su: No such file or directory
### Phase 3: Creating file information database
### Phase 4: Searching for inconsistencies
###
### Total files scanned: 4173
### Files added: 0
### Files deleted: 0
### Files changed: 3890
###
### After applying rules:
### Changes discarded: 3890
### Changes remaining: 0
info tripwire >