Raspberry Pi 2で遊ぶ(Ver.2.0):Tigerで不正侵入検知

このページは「Raspberry Pi記事まとめ 」に集約しています。

TigerはchkrootkitとTripwireを含んだ統合システム侵入検出セキュリティー監視パッケージです。
基本的にはインストールするだけで使えます。

参考サイト

■ 基本情報
Raspberry Pi 2 Model B + Class10 16GB microSDXC + WLI-UTX-AG300
IPアドレス体系は192.168.24.0、DHCP運用
ホスト名はgusion、Avahiではgusion.local
ユーザ名はpiからakitakaに置き換え

インストール

$ sudo apt-get install tiger

インストール中にTripwireの設定ウィザードが表示されます。日本語ロケールにしてあれば全て日本語で表示されます。
設定ファイルとデータベースファイルの改ざんを防止するため、それぞれに認証用のキーを設定する必要があります。

  • サイトパスフレーズは設定ファイルの改ざん防止用キー
  • ローカルパスフレーズはデータベースの改ざん防止用キー

となっています。
両方とも同じキーででいけます。推奨ではありませんが。

使い方

以下のコマンドで一通りのチェックを行ってくれます。

$ sudo tiger

結果は以下のコマンドで確認できます。

$ sudo less /var/log/tiger/security.report.ホスト名.日時
※終了は「q」

不安になるメッセージがいっぱい出てきますが、大半が使ってないサービスだったりするので、神経質になりすぎると胃に穴があきます。
また、常時監視をしてくれるので、シンプルなレポートを1時間毎に(メール設定をしていれば)メール通知してくれます。

メッセージ例

Don’t have required command DIFF.

レポートメールに以下のようなものが来ました。

--ERROR-- [init001e] Don't have required command DIFF.

「必要なDIFFコマンドを持っていません」らしいですが、diffutilsは入ってるし原因がイマイチわかりません。
#785589 – tiger: “Don’t have required command DIFF” on Linux 4 – Debian Bug report logs」によると、なんかシンボリックを貼れば直ったとかいてあったのでその通りにしてみます。

$ cd /usr/lib/tiger/systems/Linux/
$ sudo ln -s 3 4

・・・確かに来なくなりました。

Warning: File system error.

レポートメールに以下のようなものがずらずらと来ました。

/etc/cron.daily/tripwire:
### Warning: File system error.
### Filename: /etc/rc.boot
### \xe3\x81\x9d\xe3\x81\xae\xe3\x82\x88\xe3\x81\x86\xe3\x81\xaa\xe3\x83\x95\xe3\x82\xa1\xe3\x82\xa4\xe3\x83\xab\xe3\x82\x84\xe3\x83\x87\xe3\x82\xa3\xe3\x83\xac\xe3\x82\xaf\xe3\x83\x88\xe3\x83\xaa\xe3\x81\xaf\xe3\x81\x82\xe3\x82\x8a\xe3\x81\xbe\xe3\x81\x9b\xe3\x82\x93

Tripwireの実行結果で、システムのエンコードを「ja_jp.utf_8」にしてると文字化けて出るようです。
一応、以下のコマンドで正しいメッセージになります。

$ export LANG=C
$ sudo tripwire --check

(省略)
File system error.
Filename: /etc/rc.boot
No such file or directory
(省略)

27ほどファイルが見つかりませんと出ますが、あまり気にしなくてよさそうです。
対処法は分かりませんが・・・

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中