Ubuntu Server25.10 : Tripwire, Logwatch,Chkrootkit,ディスク使用率チェックスクリプト

Tripwireインストール

クラッカーによるLinuxサーバーのファイルの改竄を検知するシステムを導入する。
今回は、ファイル改竄検知システムにホスト型IDS(IDS=Intrusion Detection System)のTripwireを導入する。
Tripwireは、導入時のファイル状態をデータベース化し、そのデータベースとファイルの現状を比較することにより、ファイルの追加／変更／削除を検知する。

1 インストール

Tripwire は、「tw.cfg」tripwire構成ファイルと 「tw.pol」tripwireポリシーファイルをセキュリティで保護するためにサイトパスフレーズを必要とします。指定されたパスフレーズを使用して両方のファイルを暗号化します。 サイトパスフレーズは、単一インスタンスのtripwireに対しても必要です。
インストール過程で"site key passphrase"及び"local key passphrase"の入力を求められます。

サイトキーパスフレーズの作成

ローカルキーパスフレーズの作成
tripwireデータベースとレポートファイルの保護にはローカルパスフレーズが必要です。tripwireベースラインデータベースの不正な変更を避けるためにtripwireが使用するローカルキー。

インストールが進み完了します

2. Tripwire の設定

①twcfg.txt編集

② 設定ファイル(暗号署名版)を作成

③ ポリシーを最適化
次のポリシー最適化スクリプトを利用し、ポリシーを最適化する

ポリシー最適化スクリプト内容

ポリシーファイル最適化

最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成

Tripwireデータベース自体をチェック対象外にする

④データベース作成

3. 動作確認

①テスト用ファイルを作成

②Tripwire の動作確認

成功すると次ような表示が出る

テストファイルを削除しておく

4. Tripwire 自動実行

①メールで結果報告用スクリプト(tripwire.sh)を作成し、自動実行させる

②実行権限を与え、Cronで定期実行する

下記を実行し、指定メールアドレスに結果が届くか確認する

Logwatch

Logwatch は、いろいろなログをまとめて集計し、レポートとして毎日定期的にメールで届けてくれる。不正アクセスや不具合の発見とサーバの監視に便利なツール。

①インストール

②デフォルトの設定ファイルをコピー

➂メールの送信先等を変更

④ディレクトリの作成

⑤動作確認
logwatch をインストールするとデフォルトで cron 登録されるので、毎日レポートメールが届く
設定したアドレスにレポートが届くかテストを行います。

Chkrootkit

chkrootkitはルートキットの存在を検知するためのツール。
なお、chkrootkitは既に改ざんされた後では意味がないため、導入時には考慮が必要です。また、chkrootkitはrootkitを検出しても自動的に対処する機能はないため、検出後は手動で対応する必要があります。

①chkrootkit をインストール

➁chkrootkit を確認

④chkrootkit 定期実行スクリプトの作成と権限変更

自動で /usr/sbin/chkrootkit-dailyをもとに/etc/cron.daily/chkrtootkit が作成され、毎日自動で実行されるので、スクリプトの作成は不要。
これで、rootkit が仕掛けられていた場合に root 宛にメールが届くようになる。

ディスク使用率チェックスクリプト

1. スクリプト作成

disk_capacity_check.shの内容

2. 実行確認

①現在の使用率を確認

次のように表示される

②使用率80%以上になるようダミーファイルを作成(例ではdummyfile という名前で4G程度)

③再度確認

を実行して80%以上になっていることを確認

④ディスク容量チェックスクリプトを実行

設定したメールアドレスに本文の内容として「Disk usage alert : 91%」のように記載のメールが届きます

⑤作成した「dummyfile」を削除

⑥定期実行設定

DNS更新

ネットが切断されたり、ルーターが切断再起動したときにおこるグローバルIPの変更の度に、ダイナミックDNSにアクセスしグローバルIPが変更されたことを知らせなくてはいけません。

専用のpythonファイルを作成しCronで定期実行します
今回はValudomainでのDNS設定です

ddnsset.pyの内容

IPアドレス記録ファイル作成

定期的に実行