[Linux] tripwire 사용

침입 방지 모니터링 하기

침입 탐지 시스템 (IDS)

시스템의 정상적인 상태를 기준으로 시스템의 상태를 주기적으로 검사하면서ㅏ 이기준에서 상당히 벗어날 때 이상 징후가 있음을 알려줍니다 .

네트워크 기반 침입 탐지 시스템 (NIDS )

네트워크를 지속해서 모니터링 하면서 침입시도 패턴을 찾아냅니다 .

TripWire

NIDS와 같은 역할을 하는 오픈 소스 패키지로 HIDS를 구축 하는 방법을 알아보겠습니다 .

트립와이어는 서버를 검사하고 중요 시스템 파일들의 핵심 속성을 자체 DB에 저장합니다 . 이파일 중 하나라도 변경 또는 삭제되거나 감시하는 디렉터리에 파일이 추가되면 속성이 바뀌게 됩니다 .

후에 트립와이어를 다시 실행해서 시스템을 검사하고 현재 값과 DB 에 저장된 값을 비교해 일치하지 않는 값이 있으면 시스템에 침입이 일어났음을 알 수 있습니다 .

Centos 에서 Tripwire 구축 실습

epel-release 저장소 설치

#yum -y install epel-release

tripwire 설치 및 암호 설정

# yum -y install tripwire

# tripwire-setup-keyfiles

키퍼레이즈 입력

tripwire DB 초기화

#tripwire --init 명령어로 DB 초기화 후 완료

tripwire 설정

/etc/tripwire/ 디렉토리의 tw.cfg 파일과 tw.pol 파일로 트립와이어가 작동 합니다 .

이파일들은 암호화 되어 있어서 읽을 수 없고 평문으로 된 twcfg.txt파일과 twpol.txt 파일 모두를 암호화해서 만들어 집니다 .

파일의 기본적인 위치를 바꾸면 twcfg.txt의 파일내용을 수정합니다 .

리포트를 받기 위해 마지막 행의 본인 이메일을 추가했습니다 .

twpol.txt 파일

트립와이어가 파일 시스템을 분류하고 검사하는 데 사용하는 정책을 설정 합니다 .

다음은 twpol.txt.파일에 있는 트립 와이어 정책 규칙의 예입니다 .

twpol.txt와 twcfg.txt 평문 텍스트 파일을 편집한 후에는

twadmin --create-cfgfile 과 twadmin --create-profilke 명령으로 암호화된 버전을 만들어야 합니다 .

그 후 .txt 파일은 삭제 .

설정을 재갱신하기

나중에 갱신할 때는 다음 명령어로 원래 값을 복구 및 편집을 하여 환경을 다시 바꿀 수 있습니다 , 물론 보안을 위해 설정을 완료 후 적용 후 .txt 파일은 다시 삭제 해야 합니다 .

tripwire 테스트

ripwire 명령의 -m 인자는 모듈을 나타내며 , 이인자를 통해 다양한 명령을 받습니다 .

-m c는 검사 ( check ) 모듈을 작동 시킵니다 . 검사를 실행 하면 존재 하지 않는 파일과 디렉터리가 출력됩니다 .

앞에서 검사한 결과를 기반으로 트립와이어 DB를 업데이트

#tripwire -m u

현재 트립와이어가 리포트 파일을 볼수 없다는 메세지를 출력 합니다 . 이문제가 생기면 /var/lib/tripwire/report디렉터리에 가장 최근에 생성된 리포트파일에 대해 다음과 같이 설정합니다

다음과 같이 vi 창이 뜨면 q! 로 나가고 키퍼레이즈 까지 입력하면 완료됩니다 .