Linux に Tripwire IDS (侵入検知システム) をインストールする方法

Tripwire は、時間の経過とともにファイルシステムの不正な変更が発生したかどうかを検出するためにシステム上で実行される、人気のあるLinux 侵入検知システム (IDS) です。

CentOS および RHEL ディストリビューションでは、トリップワイヤーは公式リポジトリの一部ではありません。ただし、tripwire パッケージは Epel リポジトリ経由でインストールできます。

まず、以下のコマンドを実行して、CentOS と RHEL システムに Epel リポジトリをインストールします。

# yum install epel-release

Epel リポジトリをインストールした後、次のコマンドを使用してシステムを更新してください。

# yum update

更新プロセスが完了したら、以下のコマンドを実行してTripwire IDS ソフトウェアをインストールします。

# yum install tripwire

幸いなことに、Tripwire はUbuntu および Debian のデフォルト リポジトリの一部であり、次のコマンドを使用してインストールできます。

$ sudo apt update
$ sudo apt install tripwire

Ubuntu と Debian では、tripwire のインストール時にサイト キーとローカル キーのパスフレーズを選択して確認するよう求められます。これらのキーは、設定ファイルを保護するために Tripwire によって使用されます。

CentOS と RHEL では、以下のコマンドを使用して Tripwire キーを作成し、サイト キーとローカル キーのパスフレーズを指定する必要があります。

# tripwire-setup-keyfiles

システムを検証するには、次のコマンドを使用して Tripwire データベースを初期化する必要があります。データベースがまだ初期化されていないため、トリップワイヤーには大量の誤検知警告が表示されます。

# tripwire --init

最後に、以下のコマンドを実行して、構成を確認するために Tripwire システム レポートを生成します。 --help スイッチを使用して、すべてのトリップワイヤ チェック コマンド オプションを一覧表示します。

# tripwire --check --help
# tripwire --check

Tripwire check コマンドが完了したら、お気に入りのテキスト エディタ コマンドを使用して /var/lib/tripwire/report/ ディレクトリにある拡張子 .twr のファイルを開いてレポートを確認します。ただし、その前にテキストファイルに変換する必要があります。

# twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
# vi report.txt

それでおしまい！ Linux サーバーに Tripwire が正常にインストールされました。 Tripwire IDS を簡単に設定できるようになったと思います。