Tripwire-改ざん検知(2)

Tripwireのインストールが完了したら、まずデータベースファイルの作成を行います。

# /usr/sbin/tripwire –init
Please enter your local passphrase: [ローカルパスフレーズを入力]
Parsing policy file: /etc/tripwire/tw.pol
Generating the database…
*** Processing Unix File System ***

以上のコマンドを実行すると、/var/lib/tripwire/.twd というファイル名でデータベースファイルが作成されます。ホストのスペックによりますが、この作業には数分から数十分の時間がかかります。
ファイルの改ざんが行われていないかどうかの検証(整合性チェック)は、次のコマンドを実行します。

# /usr/sbin/tripwire –check
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check…

整合性チェックにもデータベース作成時と同様に時間がかかります。変更、追加、削除されたファイルが見つかった場合、その結果が表示されます。
Tripwireをインストールした段階で、/etc/cron.daily/tripwire-check ファイルがインストールされ、毎日Tripwireが自動的に実行されて整合性チェックが行われます。もし、自動実行が不必要な場合には、tripwire-checkを削除します。
整合性チェックの結果は標準出力のほかにレポートファイルにも出力されます。この内容を確認するには、次のコマンドを実行します。は実行した時刻をもとにという名前がついています。

# /usr/sbin/tripwire -m r –twrfile /var/lib/tripwire/report/.twr

Tripwireデータベースの表示をするには次のコマンドを実行します。

# /usr/sbin/twprint -m d –print-dbfile

正常な変更が以後違反として報告されないようにするために、Tripwireデータベースを更新するには、次のコマンドを実行します。

# /usr/sbin/tripwire –update –twrfile /var/lib/tripwire/report/.twr

上記のコマンドが正常動作しない場合には次のようにします。

# /usr/sbin/tripwire –update -r /var/lib/tripwire/report/.twr –accept-all