리눅스마스터1급 : 시스템 보안 관련 유틸리티 및 명령어 : tripwire 활용
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 418 조회
- 0 추천
- 목록
본문
리눅스마스터1급 : 시스템 보안 관련 유틸리티 및 명령어 : tripwire 활용
① tripwire의 테스트 모드
tripwire의 메일 경고기능을 테스트하기 위해 다음과 같은 명령을 사용할 수 있다.
|
|
|
| [sulinux@sulinux ~]# tripwire --test --email admin@test.sulinux.net |
|
|
|
|
메일 경고 기능이 올바르게 동작을 한다면 아래와 같은 메일을 받을수 있을 것이다.
|
|
|
| Date: 토, 22 6월 2013 16:36:13 +0900 From: "Open Soure Tripwire(R) 2.4.2.2.2" <tripwire@SULinux.sulinux.net> To: admin@test.sulinux.net Subject: Test email message from Tripwire Content-Type: text/plain Content-Transfer-Encoding: 7bit
If you receive this message, email notification from tripwire is working correctly. |
|
|
|
|
② 검사보고서 작성의 자동화
파일 시스템에 주기적인 점검이 없으면 tripwire는 소용이 없다.
그러므로 매일 밤 tripwire로 점검하고 이를 email로 받아볼 수 있도록 설정한다면 보다 편리하게 사용할 수 있다.
먼저 아래와 같은 쉘스크립트를 구성하고 임의의 위치에 저장하면 된다.
|
|
|
| [sulinux@sulinux ~]# vi tripwire.sh #!/bin/bash /usr/sbin/tripwire –m –c | mail –s “tripwire report from dev.SULinux” admin@test.sulinux.net |
|
|
|
|
이제 완성된 스트립트를 crontab에 추가한다.
추가하기 위해 crontab –e 명령을 사용하며 아래와 같은 형식으로 추가 한다.
|
|
|
| 4 1 * * * /usr/local/script/tripwire.sh |
|
|
|
|
위의 설정은 매일 01시 04분에 우리가 만든 스크립트를 실행시키고 그 결과를 이메일로 보내주는 역할을 하게 된다.
③ twprint
tripwire 데이터베이스 파일들과 바이너리 들은 encode되고 sign 됨으로 twprint 명령어를 사용하여 데이터베이스와 레포트파일을 텍스트 형식으로 볼 수 있다.
예를 들어, 데이터베이스 파일을 텍스트 파일로 출력하고 싶으면 다음과 같이할 수 있다.
|
|
|
| [sulinux@sulinux ~]# twprint --print-dbfile > db.txt |
|
|
|
|
tripwire는 이미 구축되어 있는 데이터베이스를 기준으로 비교를 통해 이진 파일의 변화를 감지하는 방식이기 때문에 이미 침입을 당해서 루트킷 등이 설치 되어 있는 서버에서는 무용지물이 될 수 있다.
가능하면 시스템을 구축할 때 같이 설정하는 것이 좋다.
관련자료
-
이전
-
다음
