[정보보안] Tripwire의 특징 및 easy 사용법
Tripwire는 시스템 및 파일의 무결성을 모니터링하고 보호하기 위한 호스트 기반의 보안 솔루션으로 Tripwire, Inc.에 의해 개발/유지보수하고 있습니다. 다음과 같은 특징과 기능을 가지고 있습니다.
- 파일 무결성 감시:
Tripwire는 시스템에서 변경된 파일을 감지하고 이를 기록하여 무단 변경을 탐지합니다. 이를 통해 악성 코드나 해커의 침입을 식별하고 대응할 수 있습니다. - 보안 규정 준수:
Tripwire는 HIPAA, PCI DSS, GDPR 등의 규정 및 규정 준수를 위한 보안 요구 사항을 충족하는 데 도움이 됩니다. - 실시간 감시:
Tripwire는 실시간으로 파일 시스템 및 레지스트리 변경 사항을 모니터링하여 즉각적인 대응을 제공합니다. - 보고서 생성:
Tripwire는 변경 내역을 기록하고 이를 정기적인 보고서로 생성하여 관리자에게 제공합니다. 이를 통해 보안 상태를 추적하고 보고할 수 있습니다. - 보안 이벤트 관리:
Tripwire는 이벤트 및 경고를 생성하여 시스템의 보안 이슈를 신속하게 식별하고 대응할 수 있도록 지원합니다.
Tripwire에서 사용하는 중요한 파일입니다.
- /etc/tripwire/tw.pol:
리눅스에 대한 보안 정책 설정, 검사할 대상(파일/디렉터리)과 해당 위치를 명시 - /etc/tripwire/site.key:
정책파일과 환경파일 설정 - /etc/tripwire/`hostname`-local.key:
데이터베이스와 레포트 파일을 초기화 및 보호
Tripwire를 설치하는 방법은 간단합니다.
$ yumdownloader https://vault.centos.org/centos/8/extras/x86_64/os/Packages/epel-release-8-11.el8.noarch.rpm $ yum -y localinstall epel-release-8-11.el8.noarch.rpm $ yum install tripwire
아래는 간단하게 사용한 예제입니다. 이해하시는데 도움이 되었으면 합니다.
##/etc/tripwire/site.key 및 /etc/tripwire/`hostname`-local.key 생성$ tripwire-setup-keyfiles$ cd /etc/tripwire/ ; ls -l *.key-rw-r-----. 1 root root 931 May 17 16:55 site.key -rw-r-----. 1 root root 931 May 17 16:55 `hostname`-local.key ##최초 스냅샷 생성$ tripwire --initPlease enter your local passphrase: Parsing policy file: /etc/tripwire/tw.pol Generating the database... *** Processing Unix File System *** ### Warning: File system error. ### Filename: /usr/sbin/fixrmtab ### No such file or directory ### Continuing... ..... Wrote database file: /var/lib/tripwire/T1.twd The database was successfully generated. ##새로운 파일이 생성되었음을 체크하는지 확인하기 위해 임의 파일 생성$ touch tripwire-check-files
##스냅샷과 현재 파일 시스템 비교$ tripwire --checkParsing policy file: /etc/tripwire/tw.pol *** Processing Unix File System *** Performing integrity check... .... ------------------------------------------------------------------------------- *** End of report *** Open Source Tripwire 2.4 Portions copyright 2000-2018 Tripwire, Inc. Tripwire is a registered trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY; for details use --version. This is free software which may be redistributed or modified only under certain conditions; see COPYING for details. All rights reserved. Integrity check complete. ##결과 파일을 레포트 파일로 생성$ twprint --print-report --twrfile /var/lib/tripwire/report/`hostname`-......twr > tripwire.txt$ less tripwire.txt..... Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- ...... * Tripwire Data Files 100 1 0 0 System boot changes 100 0 0 0 OS executables and libraries 100 0 0 0 Security Control 100 0 0 0 Login Scripts 100 0 0 0 * Root config files 100 1 0 1 Invariant Directories 66 0 0 0 Temporary directories 33 0 0 0 Critical devices 100 0 0 0 Total objects scanned: 37608 Total violations found: 3 .......
