1999/8/29
バージョン Tripwire ASR 1.3.1
OS Slackware 3.6 (Linux 2.0.35)
ホームページ http://www.tripwiresecurity.com/
ダウンロード http://www.tripwiresecurity.com/

ファイルやディレクトリの改ざんを検出するソフトです。不正侵入の検知に役立ちます。最新版は商用ソフトとなっていますが、旧バージョンがフリーソフトとして公開されています。

準備

$ tar xvfz Tripwire-1.3.1-1.tar.gz
$ cd tw_ASR_1.3.1_src

include/config.hを編集します。

OSの種類に応じたヘッダファイルを指定します。Linuxの場合、conf-svr4.hを使用します(デフォルトのまま)。

#include "../configs/conf-svr4.h"

設定ファイルとデータベースを置く場所を指定します。これは読み込み専用のメディア、または安全なリモートサーバをマウントしたパスを指定するべきです。なぜなら、不正侵入者に、Tripwireのデータベースを改ざんされてしまっては意味がないからです。ただし今回は実験目的なのでそのままにします。

#define CONFIG_PATH "/usr/local/bin/tw"
#define DATABASE_PATH "/var/tripwire"

コンパイル&インストール

コンパイル、インストールします。

$ make

$ make test

$ su

# make install
ワンポイント) 不正侵入者は、侵入したらまずTripwireが仕掛けられていないかどうかを確認するはずです。Tripwireを発見した侵入者は、まずはTripwreの改ざんを行ってしまうでしょう。侵入者に気付かせないために、tripwireという名前を変更し、できるだけ気付かれにくいパスへインストールするべきです。なお、今回は実験目的なので、すべてデフォルトでインストールしています。

データベース生成

先ほどCONFIG_PATHで指定したパスに、設定ファイル(tw.conf)が作られます。必要に応じて、このファイルを編集します。

設定ファイルに従って、データベースを生成します。

# /usr/local/bin/tw/tripwire -initialize

### Warning: creating ./databases directory!
###
### Phase 1: Reading configuration file
### Phase 2: Generating file list
### Phase 3: Creating file information database
###
### Warning: Database file placed in ./databases/tw.db_cattle.
###
### Make sure to move this file and the configuration
### to secure media!
###
### (Tripwire expects to find it in '/var/tripwire'.)

カレントディレクトリの下のdatabase/の下に、データベースが作られるので、インストール時に設定したDATABASE_PATHのほうに移動しておきます。

# mv databases/tw.db_cattle /var/tripwire/

検証

# /usr/local/bin/tw/tripwire

データベース更新

対象のファイルを更新、追加、削除した場合は、データベースを更新しなければなりません。データベース更新には、更新モードと対話更新モードがありますが、ファイルの追加、削除の場合は対話更新モードを使用する必要があります。

# /usr/local/bin/tw/tripwire -interactive

更新されたデータベースは、やはりカレントディレクトリの下のdatabase/の下に作られるので、インストール時に設定したDATABASE_PATHのほうに移動しておきます。

# mv databases/tw.db_cattle /var/tripwire/