[보안] 트립와이어에 포함된 siggen 을 이용한 무결성검사

트립와이어에 포함된 siggen 을 이용한 무결성검사  

– 필요성

지금 사용하고 있는 fcheck 도 간편하고 좋지만 해커가 fcheck 의 존재를

이미 알고 있어서

ps 나 ls 등의 중요한 유틸리티를 변조한 후에 fcheck -ac 를 이용해 변조

된 내용을 기존의

내용인양 저장 시키고, 유유히 서버에서 활동을 할 수 있다.

위와같은 상황에 대비해 tripwire 에 포함되어있는 siggen 이라는 유틸리

티를 사용하여 중요파일들의

초기값을 기억해두어 서버의 이상동작시에 빠른체크를 할 수 있도록한다.

필요한 소스 : Tripwire-1.3.1-1.tar.gz

받을수 있는곳 : http://www.tripwire.com/downloads (겁나

느림 알아서

미러서버 찾아보시길 🙂

– 설치

1. 압축을 푼다.

[root@free1 tmp]# tar xvfz Tripwire-1.3.1-1.tar.gz

2. 디렉토리에 들간다.

[root@free1 tmp]# ls

Tripwire-1.3.1-1.tar.gz tw_ASR_1.3.1_src/

[root@free1 tmp]# cd tw_ASR_1.3.1_src/

[root@free1 tw_ASR_1.3.1_src]#

3. include 디렉토리에 config.h 를 알아서 고친다.

[root@free1 tw_ASR_1.3.1_src]# vi ./include/config.h

별거 고칠건 없지만 요부분들을 OS 나 자기입맛에 맞게 고친다.

#include “../configs/conf-svr4.h”

자기 오에스에 맞게 고친다. 기본적으로 svr4 로 되어있다.

#define CONFIG_PATH “/usr/local/bin/tw”

#define DATABASE_PATH “/var/tripwire”

기본 디렉토리보다는 일반사용자 접근이 제한된 디렉토리가 좋다.

4. 설치는 늘 그렇듯이 .. make ; make install 로 마무리 .. 🙂

– 적용

가장 좋은때는 오에스를 설치하고 바로 하는것이 좋다.

트립와이어를 설치한 디렉토리로 가면 두개의 실행파일이 기다리고 있다.

[root@free1 tw_ASR_1.3.1_src]# cd /usr/local/bin/tw/

[root@free1 tw]# ls

siggen* tripwire* tw.config tw.config-dist

[root@free1 tw]#

위에서 보면 아스테리크문자가 붙어있는 파일이 두개 있는데 이 중 지금

신경 쓸것은

siggen 이라는 파일이다.

기본적인 사용법은 실행해보면 안다 ^^ (man siggen)

실행을 해보면 이런 화면이 띡 뿌려진다.

[root@free1 tw]# ./siggen -1 tripwire

sig1: md5 : 2dTNVX3S:dI8az8eTeKmXK

[root@free1 tw]#

대충 설명을 해보면 -1 은 md5 로 sum 을 내라는 것이고 tripwire 는 sum

을 내는 파일이름이다.

이런식으로 여러개를 검사할 수도 있다.

[root@free1 tw]# ./siggen -1 tripwire /bin/ps

*** tripwire ***

sig1: md5 : 2dTNVX3S:dI8az8eTeKmXK

*** /bin/ps ***

sig1: md5 : 1U5oNoSqDb.ldbKvXuNp0p

[root@free1 tw]#

그냥 사용하면 별의별 알고리즘으로 된 결과를 볼 수도 있다.

[root@free1 tw]# ./siggen -a tripwire

sig0: nullsig : 0

sig1: md5 : 2dTNVX3S:dI8az8eTeKmXK

sig2: snefru : 2Ab3vCfIEduh7mbAtgcV56

sig3: crc32 : 3jXV:T

sig4: crc16 : 000DO2

sig5: md4 : 1Xhxxu8g49RRd7kD8Jsf84

sig6: md2 : 2npxPQGaiOsdN.FqqGCy5X

sig7: sha : 1y86Z3lyimZs4wHwwarP1ZymPyu

sig8: haval : 3:XyiVmQFF4FuE5ooTsUzs

sig9: nullsig : 0

[root@free1 tw]#

그럼 이런식으로 생성해낸 데이터들은 linuxstaffs 등으로 메일로 보낸

다. 이런식으로

[root@free1 tw]# ./siggen -1 tripwire > `hostname`.txt | mail -s

`hostname` zioc at tt.co.kr < `hostname`.txt

여러명이 공유하고 있으면 자신의 PC 가 해킹되더라도 결과를 믿을수가 있

겠다.

– 결론

이 데이터를 자신의 하드등에 가지고 있으면 혹 의심이 갈때 중요데이터들

을 확인해 볼수있다.

자동으로 하는건 아니지만 해킹이 의심될때 요긴하게 써먹을수 있다. 단점

은 요즘들어 유행하는 lkm 등을 막을수가

없다는 단점이 있다. (별 넘들이 다 있어서 세상살기는 더욱 어려워 지는

것 같다 ^^)

이 외의 트립와이어를 사용하여 자동으로 할 수도 있지만 fcheck 과 마찬

가지로 다른사람이 tripwire 변조를 해버리면

무용지물이기 때문에 설치 후 한번은 해주는것이 좋다.

(만인이 원한다면 자동으로 옵션 설정해서 하는것도 올릴의향은 있다 🙂