이번 강좌는 이런 Tripwire의 설치와 사용법에 대한 간단한 설명으로서 설치와 간단한 사용법외에 구체적인 사용법은 이후 업그레이드되는 버전에서 자세히 다루도록 할 것이다.
1. tripwire 다운받기
Tripwire의 공식적인 배포사이트인 tripwire.org에서 다운받을 수 있다.
http://www.tripwire.org/downloads/index.php
RPM으로 설치를 하려면 RPM버전을 다운받아서 rpm -Uvh로 설치를 하면된다.
여기서는 소스를 다운받아서 직접 컴파일하여 설치하도록 할 것이다.
2. 압축풀기
아래 예와 같이 다운받은 tripwire 소스파일(tripwire-2.3.tar.gz)를 tar명령어로 압축을 푼 것이다.
gzip으로 압축된 것을 tar로 한번에 풀려먼 z라는 옵션을 함께 사용해야한다.
tar로 압축을 풀고나면 tripwire디렉토리가 생성이 된다.
이 디렉토리로 들어가 보자.
3. 설치하기
tripwire의 설치는 의외로간단하다.
아래 예와 같이 install-sh라는 설치스크립트를 사용하면 간단히 설치가 된다.
install 과정의 긴 메시지중 주의깊게 봐야할 사항은 아래부분으로서 tripwire가 설치되는 위치에 관한 것이다.
간단히 설명하면 다음과 같다.
/usr/sbin/tripwire : tripwire의 주된 실행파일
/etc/tripwire/* : tripwire에 관련된 설정파일과 key파일및 정책파일들이 저장된 디렉토리
/var/lib/tripwire/report : tripwire실행결과 보고서가 저장될 디렉토리
/var/lib/tripwire : tripwire DB파일이 저장될 디렉토리
이제 마지막으로 중요한 것이 하나 남아있다.
passphrase 키파일라는 것으로 tripwire에 관한 중요한 설정변경과 초기화등을 시킬때 사용되는 패스워드역할을 하는 것이다.
\"Enter the site keyfile passphrase:\" 라고 되어 있는 곳과
\"Enter the local keyfile passphrase:\" 라고 되어 있는 곳에
사용할 패스워드를 입력하면 된다.
아래는 tripwire의 정책파일을 생성하는 것으로 설치의 마지막 과정이다.
정책파일이란 tripwire가 파일시스템무결성 점검실행시에 참조하게되는 설정파일이다.
이 파일을 /etc/tripwire디렉토리에 tw.pol이라는 파일로 저장했음을 알리고 있다.
4. 초기 DB 생성하기(tripwire 초기화)
\"tripwire --init\" 이란 명령어를 사용하면 tripwire를 초기화시킬수있다.
tripwire의 초기화의 의미는 마지막으로 점검했던 파일들의 무결성점검결과를 저장하고 있던 DB를 초기화 한다는 것이다.
이것은 매우 중요한 의미를 내포하고 있다.
즉, 초기화시키기전의 변동사항은 이후에는 적용되지 않는다는 것을 의미하기 때문이다.
초기화시킬때에는 반드시 passphrase를 입력해 줘야한다.
새로 생성된 DB의 이름과 위치를 나타내고 있다.
5. 파일무결성 점검하기
이제 tripwire의 실질적인 목적인 파일무결성 점검을 해보도록 하자.
\"tripwire --check\"라는 명령어는 tripwire로서 서버에서 사용중인 파일들의 무결성을 체크하여 보고서를 만들게 되는 명령어이다.
적용되는 정책파일은 위에서 설명한 /etc/tripwire/tw.pol 이라는 파일이며,
결과보고서는 /var/lib/tripwire/report/디렉토리에 실행된날짜를 가진 파일로 저장이 된다.
6. 실행결과보기
tripwire 실행결과 아래와 같이 파일들의 무결성점검한 결과를 볼수 있다.
위의 결과를 잠시만 살펴보면 변경된 파일과 새로생성된 파일들의 내역을 알수가 있다
이들 정보를 참조하여 파일들을 일일이 확인하여보지 않아도 파일들의 변동내역을 확인할수가 있는 것이다.
7. 참고사항 A. 설정파일확인및 변경
/etc/tripwire/twcfg.txt 파일을 보면 tripwire의 설정파일내역을 볼수 있다.
필요한 부분은 적당히 조정하여 사용하는 지혜도 가져볼수 있다.
8. 참고사항 B. 정책파일 수정및 변경
tripwire의 기본정책파일이 모든 시스템에 알맞게 적용되는 것은 아니다.
즉, 점검할 필요가 없는 파일이 있을수도 있고, 또는 시스템에 없는 파일을 점검하는 경우도 있다.
이런경우에 /etc/tripwire/twpol.txt파일을 적당히 수정및 변경하여 적용하면 된다.
9. 수퍼유저를 위한 조언
tripwire는 서버내의 파일무결성점검도구로서 가장 신뢰를 받고 있는 유틸리티라고 필자는 확신하며,
이 tripwire를 사용하여 주기적인 실행과 웹에서의 결과확인하는 방법에 대해서 각자 연구해 보는 것이 필요할 것이다.
필자가 추천하는 가장 간단한 방법은
cron으로 tripwire의 주기적인 실행을 하게하고
실행결과인 보고서의 저장을 웹디렉토리로 지정하여 저장하면 될 것이다.
Posted by 홍반장