LinuxにTripwire IDS(侵入検知システム)をインストールする方法


ある[ Tripwire は、時間の経過とともに不正なファイルシステムの変更が発生したかどうかを検出するためにシステム上で実行される人気のある[ Linux侵入検知システム IDS )です。

CentOS RHEL ディストリビューションでは、tripwireは公式リポジトリの一部ではありません。しかしtripwireパッケージはEpelのリポジトリからインストールできます。

まず、 CentOS RHEL システムに Epel リポジトリをインストールします。以下のコマンドを発行します。

# yum install epel-release

Epel リポジトリをインストールしたら、必ず次のコマンドでシステムを更新してください。

# yum update

アップデートプロセスが完了したら、以下のコマンドを実行して Tripwire IDS ソフトウェアをインストールします。

# yum install tripwire

幸い、 tripwire Ubuntu Debian のデフォルトリポジトリの一部であり、次のコマンドでインストールできます。

$ sudo apt update
$ sudo apt install tripwire

Ubuntu Debian では、tripwireのインストールでサイトキーとローカルキーのパスフレーズを選択して確認するように求められます。これらのキーは、設定ファイルを保護するためにtripwireによって使用されます。

CentOS RHEL では、以下のコマンドでtripwireキーを作成し、サイトキーとローカルキーにパスフレーズを指定する必要があります。

# tripwire-setup-keyfiles

システムを検証するには、次のコマンドでTripwireデータベースを初期化する必要があります。データベースがまだ初期化されていないという事実により、tripwireは多くの誤検知警告を表示します。

# tripwire --init

最後に、下記のコマンドを発行して設定をチェックするためにtripwireシステムレポートを生成します。すべてのtripwire checkコマンドオプションを一覧表示するには、 --help スイッチを使用します。

# tripwire --check --help
# tripwire --check

tripwire checkコマンドが完了したら、/var/lib/tripwire/report/ディレクトリにある拡張子 .twr の付いたファイルを好きなテキストエディタコマンドで開き、レポートを確認しますしかしその前にあなたはテキストファイルに変換する必要があります。

# twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
# vi report.txt

それでおしまい!これで、LinuxサーバーにTripwireが正常にインストールされました。 Tripwire IDSを簡単に設定できるようになりました。