19.3. Tripwireのカスタマイズ
Tripwire RPMのインストールが終了すると、ソフトウェアを初期化するために 次のステップを全て実行する必要があります:
19.3.1. /etc/tripwire/twcfg.txtの編集
このサンプルTripwire設定ファイルの編集は必須ではありませんが、ユーザーの立場に よっては編集することが必要になるかも知れません。例えば、Tripwire ファイルの場所を変更する、電子メール設定をカスタマイズする、又は リポート用の詳細レベルをカスタマイズするなどの場合に必要です。
以下に/etc/tripwire/twcfg.txtファイル内で 必須となるユーザー設定可能な変数を示します:
POLFILE — ポリシーファイルの場所を指定します; /etc/tripwire/tw.polがデフォルトの値です。
DBFILE — データベースファイルの場所を指定します; /var/lib/tripwire/$(HOSTNAME).twdがデフォルトの値です。
REPORTFILE — レポートファイルの場所を指定します; デフォルトでこの値は/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twrに セットされています。
SITEKEYFILE — サイトキーファイルの場所を指定します; /etc/tripwire/site.keyがデフォルトの値です。
LOCALKEYFILE — ローカルキーファイルの場所を指定します; /etc/tripwire/$(HOSTNAME)-local.keyがデフォルトの値です。
 | 重要 |
|---|---|
設定ファイルを編集しても、上記のいずれかの変数を未定義のままにすると、 設定ファイルは無効になります。この状態になると、tripwire コマンドを実行した時に、エラーを報告して終了してしまいます。 |
サンプルの/etc/tripwire/twcfg.txtファイル内の残りの 設定可能な変数はオプションとなります。これには以下が含まれます:
EDITOR —Tripwireで呼び込まれるテキスト エディタを指定します。デフォルトの値は/bin/viです。
LATEPROMPTING — trueに セットされている場合、この変数は、Tripwireがユーザーにパスワードを要求するまで 出来るでけ長く待つようにして、それによりパスワードがメモリ内に存在する時間を 最小限にするよう設定します。デフォルトの値はfalseです。
LOOSEDIRECTORYCHECKING — trueに セットされている場合、この変数は、Tripwireを監視中のディレクトリ内のファイルが 変更された場合は報告して、ディレクトリ自身の変更は報告しないように設定します。 これでTripwireレポートの余剰を制限します。デフォルトの値はfalseです。
SYSLOGREPORTING — trueに セットされている場合、この変数は、Tripwireがユーザー設備を経由してsyslog デーモンへ情報を報告するように設定します。ログレベルはnoticeに セットしてあります。詳細はsyslogdのmanを御覧下さい。 デフォルトの値はfalseです。
MAILNOVIOLATIONS — trueに セットされている場合、この変数は、Tripwireが違反の発生にかかわらず、一定の 期間で電子メールの報告を出すように設定します。デフォルトの値はtrue です。
EMAILREPORTLEVEL — 電子メール報告の詳細レベルを 指定します。この変数の有効な値は0から4です。 デフォルトの値は3となっています。
REPORTLEVEL — twprintコマンドに より生成されたレポート用の詳細レベルを指定します。この値はコマンドライン上で書き換え 出来ますがデフォルトでは3にセットされています。
MAILMETHOD — Tripwireが使用すべきメールプロトコルを 指定します。有効な値は、SMTPとSENDMAILです。 デフォルト値はSENDMAILです。
MAILPROGRAM — Tripwireが使用すべきメールプログラムを 指定します。デフォルト値は/usr/sbin/sendmail -oi -tです。
サンプル設定ファイルを編集した後は、サンプルポリシーファイルを 設定する必要があります。
 | 警告 |
|---|---|
セキュリティの目的で、インストールスクリプトの実行、又は署名済みの 設定ファイルを再生成した後には、プレインテキストである /etc/tripwire/twcfg.txtのすべてのコピーを 削除するか、又は安全な場所に保存する必要があります。他の方法としては 権限を変更して、他からは読み取れないようにします。 |
19.3.2. /etc/tripwire/twpol.txtの編集
必須ではないのですが、システム上の特定のアプリケーション、ファイル、ディレクトリ等を 考慮して、大幅にコメントされているこのサンプルTripwireポリシーファイルを編集する必要が あります。RPMの無変更のサンプル設定に頼ることはシステムを適切に保護できない可能性が あります。
ポリシーファイルを変更することは、ファイルや使用していないプログラムへの 誤報を低減すること、及び電子メール通知などの機能の追加によりTripwireの 使用価値を向上します。
 | 注意 |
|---|---|
電子メールによる通知はデフォルトでは設定されていません。この機能の設定の 詳細については項19.8.1を御覧下さい。 |
設定スクリプトを実行した後でサンプルポリシーファイルを変更する場合は、 署名済みポリシーファイルの再生成方法を項19.8で 御覧下さい。
| 警告 |
|---|---|
セキュリティの目的で、インストールスクリプトの実行、又は署名済み付の 設定ファイルを再生成した後には、プレインテキストである /etc/tripwire/twpol.txtの全てのコピーを 削除するか、又は安全な場所に保存する必要があります。他の方法としては 権限を変更して、他からは読み取れないようにします。 |
19.3.3. twinstall.shスクリプトの実行
rootユーザーとして、シェルプロンプトで/etc/tripwire/twinstall.shと 入力して設定スクリプトを実行します。twinstall.shスクリプトがサイトと ローカルのパスワードを尋ねてきます。これらのパスワードはTripwireファイルを保護する為の 暗号化キーを生成するのに使用されます。
サイトとローカルのパスワードを選択するとき、次のガイドラインを 考慮する必要があります:
独特のパスワードを、英数文字及び記号で最低8文字から最大1023文字まで にして使用する。
パスワード内には引用符号は使用しない。
Tripwireのパスワードは、完全にシステム用のrootやその他のパスワードとは 別のものとして設定する。
サイトキーとローカルキーはそれぞれ独特のパスワードとする。
サイトキーパスワードは Tripwire設定ファイルとポリシーファイルの両方を保護します。 ローカルキーパスワードはTripwireデータベースとレポートファイルを保護します。
| 警告 |
|---|---|
パスワードを忘れた場合は、署名済みファイルを解読する方法はありません。 パスワードを忘れた場合、ファイルは使用できず、設定スクリプトを再度 実行する必要があります。 |
設定、ポリシー、データベース、レポートファイル等を暗号化することで、 Tripwireは、サイトとローカルの両パスワードを持っていない人物がそれらを 読み込むことを防ぎます。これは侵入者がシステムのrootアクセスを取得したと しても、その形跡を消すためのTripwireファイル変更はできないという意味です。
一度暗号化されて署名されると、twinstall.shスクリプトを 実行して生成される設定とポリシーのファイルは、名前変更や移動はすべきでは ありません。