Tripwire란?

한 시스템에 침입자가 발생했다고 가정을 gksekaus,침입자가 얻은 privilege level에 따라 시스템은 파일은 손상을 입었을 수도, 변형이 되었을 수도 있다. 그 중 침입자의 파괴행위에 의한 손상은 사전 백업에 의해서 복그될 수 있지만,침입자가 그의 목적을 위해 고의적으로 일으킨 시스템 파일 변형은 발견되지 않는 한 영원히 남아 있게 되기 때문에심각한 문제가 된다. 침입당하기 이전에 시스템 파일에 관한 데이터베이스가 작성이 안되어 있었다면 파일이 변형이 되었는지를 알기란 쉬운 일이 아니다.

Tripwire는 바로 그 데이터베이스를 만들어 놓고 그것과 파일 시스템의 상태를 비교해 불법적인 변화를 발견해서 관리자에게 알려주는 역할을 한다. 아무리 경험이 많은 노련한 관리자라 할지라도 그 작업을 직접할 수는 없다. 그 점에서 Tripwire는 아주 강력한 tool이라 할 수 있겠다.

Tripwire의 한계성은 root privilege를 얻은 침입자에 의해서 database가 변경된다면 무력해진다는 점이다. 따라서 tripwire의 database는 read-only 로 mount된 파일시스템에 두어야 하고, 이 때 파일 서버는 절대적으로 secure해야 한다. 플로피 드라이브 를 장착한 워크스테이션에서 디스켓을 이용하는 것도 좋은 방법이다.

Tripwire의 설치

설치 가능한 Operating System로는 SunOS 4.1.x, Solaris 2.x, IRIX, BSD, OSF/1, UNICOS, Linux, HPUX, Ultrix Osf/1, AIX등이 있다. 자세한 것은 딸려오는 ported 파일을 참조한다.

소스 프로그램은 아래 주소에서 가져오면 된다.

ftp://coast.cs.purdue.edu/pub/COAST/Tripwire/tripwire-1.2.tar.Z

$ uncompress tripwire-1.2.tar.Z
$ tar -xvf tripwire-1.2.tar
$ tar -xvf T1.2.tar
여기까지의 과정이 끝나게 되면 현재 작업 디렉토리에 tripwire-1.2라는 디렉토리가 생기 게 된다.
tripwire-1.2/configs에 있는 conf-<os>.h들 중에서 시스템의 OS와 가장 근접한 것을 고른다.
예) Solaris 2.4 : conf-svr4.h, IRIX 5.3 : conf-irix4.h
tripwire-1.2/include/config.h의 20번째 줄을 위에서 선택한 파일에 맞게 수정한다.
다음은 Solaris 2.4에서의 예를 보인 것이다.
예) #include "../configs/conf-svr4.h"
106번째 줄에서 configuration 파일을 둘 위치를 정의한다.
예) #define CONFIG_PATH "/usr/tripwire/config"
107번째 줄에서 database를 둘 위치를 정의한다.
예) #define DATABASE_PATH "/usr/tripwire/databases"
124번째 줄에서 configuration 파일의 이름을 정의한다.
예) #define CONFIG_FILE "tw.config"
125번째 줄에서 database 파일의 이름을 정의한다.
예) #define DATABASE_FILE "tw.db_@"
(@는 hostname을 나타낸다. 즉 실제 생성되는 파일은 tw.db_kus 등과 같다.)
make를 수행한다.
실행파일인 tripwire가 만들어지면 위에서 정의한 DATABASE_PATH의 상위디렉토리 로 옮긴다. TRIPWIRE-1.2/SRC에 실행 파일 이 만들어지는데, 그 디렉토리에 있는 twdb_check.pl도 tripwire와 같이 옮긴다. 이것은 tw.config에 파일에 새로운 entry를 추가할 때 database를 update시켜 주는 역할을 한다.

tripwire의 사용법

1.Configuration(설정) file만드기동작하기 위해서는 필수!

tripwire-1.2/configs에 있는 tw.conf.<os> 파일들 중에서 시스템의 OS에 가장 근접하는 것을 골라 CONFIG _PATH/CONFIG_FILE(install에서 정의)로 복사한다.

$ cp configs/tw.conf.sunos5 /usr/adm/tcheck/tw.config

이 configuration 파일에는 감시할 파일과 그에 따른 옵션이 들어간다.

Format : [!|=] entry [ignore-flags]

위 형식에서 'entry'는 감시할 파일이나 디렉토리의 절대 경로이다. '!'는 entry를 제외시킨다. '='은 그 entry 자체를 의미한 다. 디렉토리에 쓰일 경우 그 밑의 파일들은 포함하지 않는다. 'ignore-flags'는 [template] [ [+－-][pinugsam12]…]의 형식을 취하며 각 옵션의 의미는 아래와 같다.

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
p : permission and file mode bits     a  : access timestamp
i : inode number                              m : modification timestamp
n : number of links (ref count)          c : inode creation timestamp
u : user id of owner                          1 : signature 1
g : group id of owner                        2 : signature 2
s : size of file

'template'는 미리 정의된 ignore-flag인데 R, L, N, E의 네가지가 있다.

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

templates : (default)

R : [R]ead-only (+pinugsm12-a)
L : [L]og file (+pinug-sam12)
N : ignore [N]othing (+pinusgsamc12)
E : ignore [E]verything (-pinusgsamc12)

실제 복합적으로 사용되는 예는 다음과 같다.

  /etc/lp             E+ug
  =/tmp
  /etc                 N

위 예에서 ignore-flag의 내정값은 R이다. 따라서 위의 예의 =/tmp는 그 디렉토리 자체만의 'pinugsm'값과 두 가지 signature를 체크하게 된다.

2.Tripwire에 사용되는 옵션은 아래와 같다.

(null option) : integrity check
-init : database를 초기화한다.
-update entry : entry(file, directory, 혹은 tw.config의 entry)를 update 한다.
-interactive : integrity checking과 interactive updating
-loosedir : directory에 대한 checking의 강도를 낮춘다.
-d dbasefile : dbasefile을 database로 읽는다.
-c configfile : configfile을 configuration file로 읽는다 (-d -, -c - 는 각각 stdin에서 읽어 들일 것을 의미한다)
-Dvar＝value : tw.config의 변수를 지정한다.
-Uvar : 위의 지정을 해제한다.
-i # | all : 지정된 signature check를 무시한다
-q : quiet mode
-v : verbose mode
-preprocess : 선행처리된 configuration 파일을 출력한다
-E

Tripwire는 하루에 한번 수행

3.하루에 한번 cron으로 integrity check mode로 실행시켜 결과를 슈퍼유저에게 메일로 보내도록 한다.
Solaris 2.x의 경우 다음을 /var/spool/cron/crontabs/root에 추가한다.

23 50 * * * /user/tripwire/tripwire | Mail -s
"System Integrity Check by tripwire" root