[보안] 트립와이어에 포함된 siggen 을 이용한 무결성검사
트립와이어에 포함된 siggen 을 이용한 무결성검사
– 필요성
지금 사용하고 있는 fcheck 도 간편하고 좋지만 해커가 fcheck 의 존재를
이미 알고 있어서
ps 나 ls 등의 중요한 유틸리티를 변조한 후에 fcheck -ac 를 이용해 변조
된 내용을 기존의
내용인양 저장 시키고, 유유히 서버에서 활동을 할 수 있다.
위와같은 상황에 대비해 tripwire 에 포함되어있는 siggen 이라는 유틸리
티를 사용하여 중요파일들의
초기값을 기억해두어 서버의 이상동작시에 빠른체크를 할 수 있도록한다.
필요한 소스 : Tripwire-1.3.1-1.tar.gz
받을수 있는곳 : http://www.tripwire.com/downloads (겁나
느림 알아서
미러서버 찾아보시길 🙂
– 설치
1. 압축을 푼다.
[root@free1 tmp]# tar xvfz Tripwire-1.3.1-1.tar.gz
2. 디렉토리에 들간다.
[root@free1 tmp]# ls
Tripwire-1.3.1-1.tar.gz tw_ASR_1.3.1_src/
[root@free1 tmp]# cd tw_ASR_1.3.1_src/
[root@free1 tw_ASR_1.3.1_src]#
3. include 디렉토리에 config.h 를 알아서 고친다.
[root@free1 tw_ASR_1.3.1_src]# vi ./include/config.h
별거 고칠건 없지만 요부분들을 OS 나 자기입맛에 맞게 고친다.
#include “../configs/conf-svr4.h”
자기 오에스에 맞게 고친다. 기본적으로 svr4 로 되어있다.
#define CONFIG_PATH “/usr/local/bin/tw”
#define DATABASE_PATH “/var/tripwire”
기본 디렉토리보다는 일반사용자 접근이 제한된 디렉토리가 좋다.
4. 설치는 늘 그렇듯이 .. make ; make install 로 마무리 .. 🙂
– 적용
가장 좋은때는 오에스를 설치하고 바로 하는것이 좋다.
트립와이어를 설치한 디렉토리로 가면 두개의 실행파일이 기다리고 있다.
[root@free1 tw_ASR_1.3.1_src]# cd /usr/local/bin/tw/
[root@free1 tw]# ls
siggen* tripwire* tw.config tw.config-dist
[root@free1 tw]#
위에서 보면 아스테리크문자가 붙어있는 파일이 두개 있는데 이 중 지금
신경 쓸것은
siggen 이라는 파일이다.
기본적인 사용법은 실행해보면 안다 ^^ (man siggen)
실행을 해보면 이런 화면이 띡 뿌려진다.
[root@free1 tw]# ./siggen -1 tripwire
sig1: md5 : 2dTNVX3S:dI8az8eTeKmXK
[root@free1 tw]#
대충 설명을 해보면 -1 은 md5 로 sum 을 내라는 것이고 tripwire 는 sum
을 내는 파일이름이다.
이런식으로 여러개를 검사할 수도 있다.
[root@free1 tw]# ./siggen -1 tripwire /bin/ps
*** tripwire ***
sig1: md5 : 2dTNVX3S:dI8az8eTeKmXK
*** /bin/ps ***
sig1: md5 : 1U5oNoSqDb.ldbKvXuNp0p
[root@free1 tw]#
그냥 사용하면 별의별 알고리즘으로 된 결과를 볼 수도 있다.
[root@free1 tw]# ./siggen -a tripwire
sig0: nullsig : 0
sig1: md5 : 2dTNVX3S:dI8az8eTeKmXK
sig2: snefru : 2Ab3vCfIEduh7mbAtgcV56
sig3: crc32 : 3jXV:T
sig4: crc16 : 000DO2
sig5: md4 : 1Xhxxu8g49RRd7kD8Jsf84
sig6: md2 : 2npxPQGaiOsdN.FqqGCy5X
sig7: sha : 1y86Z3lyimZs4wHwwarP1ZymPyu
sig8: haval : 3:XyiVmQFF4FuE5ooTsUzs
sig9: nullsig : 0
[root@free1 tw]#
그럼 이런식으로 생성해낸 데이터들은 linuxstaffs 등으로 메일로 보낸
다. 이런식으로
[root@free1 tw]# ./siggen -1 tripwire > `hostname`.txt | mail -s
`hostname` zioc at tt.co.kr < `hostname`.txt
여러명이 공유하고 있으면 자신의 PC 가 해킹되더라도 결과를 믿을수가 있
겠다.
– 결론
이 데이터를 자신의 하드등에 가지고 있으면 혹 의심이 갈때 중요데이터들
을 확인해 볼수있다.
자동으로 하는건 아니지만 해킹이 의심될때 요긴하게 써먹을수 있다. 단점
은 요즘들어 유행하는 lkm 등을 막을수가
없다는 단점이 있다. (별 넘들이 다 있어서 세상살기는 더욱 어려워 지는
것 같다 ^^)
이 외의 트립와이어를 사용하여 자동으로 할 수도 있지만 fcheck 과 마찬
가지로 다른사람이 tripwire 변조를 해버리면
무용지물이기 때문에 설치 후 한번은 해주는것이 좋다.
(만인이 원한다면 자동으로 옵션 설정해서 하는것도 올릴의향은 있다 🙂