ホスト型 IDS Tripwire とネットワーク型 IDS Snort の導入 with CentOS 6

ホスト型 IDS Tripwire とネットワーク型 IDS Snort の導入 (CentOS 6)

Tripwire

# rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
# yum install --enablerepo=epel tripwire
# tripwire-setup-keyfiles

/etc/tripwire/以下にサイトキーファイル(site.key)や平文のポリシーファイル(twpol.txt)が生成される。

ポリシーファイルの作成

# twadmin --create-polfile --site-keyfile /etc/tripwire/site.key /etc/tripwire/twpol.txt

データベースの初期化

# tripwire --init

整合性チェック

# tripwire --check

/var/lib/tripwire/report/以下にtwrファイルが生成される。

レポートの確認

# twprint --print-report --report-level 4 --twrfile /var/lib/tripwire/report/dc56dd103a9c-20180917-103119.twr

/etc/tripwire/twcfg.txt には平文のシステム設定ファイルがある。

ROOT                   =/usr/sbin
POLFILE                =/etc/tripwire/tw.pol
DBFILE                 =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE             =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE            =/etc/tripwire/site.key
LOCALKEYFILE           =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR                 =/bin/vi
LATEPROMPTING          =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS       =true
EMAILREPORTLEVEL       =3
REPORTLEVEL            =3
MAILMETHOD             =SENDMAIL
SYSLOGREPORTING        =false
MAILPROGRAM            =/usr/sbin/sendmail -oi -t

Snort

epel.repo

設定ファイル作成

snort-sample.conf

起動

参考

  • Tripwire https://www.tripwire.com/

  • Snort - Network Intrusion Detection - Prevention System https://www.snort.org/

PreviousMacでターミナルが開かない (zsh編)NextJMeter 導入

Last updated