파일시스템의 무결성 점검은 모든 관리자의 보안 프로그램에 있어서 중요한 일부분이다.

대부분의 시스템 관리자들이 시스템 보안이라고 하면, 방화벽, 네트워크 설정, 서비스 관리, 사용자 정책 등에 대해 생각을 하게 된다. 드물지만 루트킷 점검과 같은 수동적 방어에 대해서도 고려하게 된다.

그러나 보안을 정말 중시하는 시스템 관리자에게 있어서 정물 중요한 것은 ‘파일시스템 무결성 점검’이다. 이 무결성 점검은 파일시스템의 상태 추적, 그리고 허가를 받지 않은 변경사항이 있는지 주기적으로 검사하는 과정이 포함된다. 수상한 변화가 감지되면 침입자에 의한 것인지 검사한 후 필요하다면 피해복구를 해야 한다. 피해관리는 시간이 오래 걸리고 비쌀 수도 있지만 보안상 허점을 간과하는 것보다는 훨씬 낫다.

현재까지 리눅스나 유닉스 환경에서 가장 잘 알려진 파일시스템 무결성 점검 도구는 트립와이어(Tripwire)이다. 상용버전도 있지만 오픈소스버전 (대문자 T대신 tripwire로 주로 표기하는) 사용법에 대해서 설명하겠다. 오픈소스 트립와이어 유틸리티는 기능이 아주 좋으며 보안 시스템 관리에 있어서 필수적인 요소라고 할 수 있다. 인터넷에 연결된 리눅스 시스템에 트립와이어를 설치하지 않은 경우는 드물다. 의심쩍다면 우선 설치부터 하라.

트립와이어 도구는 개념적으로 매우 간단하다. 파일시스템의 ‘스냅샷"을 찍은 데이터베이스를 유지한다. 이 데이터베이스는 파일시스템의 어느 부분에서 허가 받지 않은 변경을 했는지 검사하는 정책에 의해 만들어진다.

트립와이어 정책은 일반적으로 스냅샷뿐만 아니라 파일시스템의 무허가 혹은 의심쩍은 변화를 규정하는 일련의 규칙도 제공한다. 트립와이어가 시스템을 점검하는 경우 정책을 활용하여 파일시스템의 현 상태를 검사하고 스냅샷과 비교한 뒤 발견한 내용에 바탕을 둔 보고서를 생성한다. 전형적인 설정에 따르면 트립와이어는 하루에 한번씩 수행되며 주로 시스템 사용자가 들어와있지 않은 야간에 이뤄진다.

첫번째 트립와이어 스냅샷은 운영체제를 설치했을 때 심지어 네트워크에 접속하거나 사용자의 로그인을 허용하거나 신뢰성이 떨어지는 데이터 소스에 접속하기 전에 찍어야 한다. 만약 트립와이어를 사용해 시스템을 복구하는 경우 첫날부터 트립와이어를 제대로 위치시키고 시스템 설정을 처음부터 만드는 계획을 고려해볼 만 하다. 이는 당신의 시스템 보안 관리에 있어서 트립와이어가 도입되기 전에 시스템에 훼손이 있어서는 안되기 때문이다.

주의할 점
트립와이어에는 알아둬야 할 문제점들이 있다. 이들 문제점은 두 가지 주제로 나뉠 수 있다. 즉 편리함('관리상 오버헤드')과 약점이다. 편리함의 문제는 트립와이어의 보고서가 검토하기에 길고 지루할 수 있다는 사실에 기인하며 또한 트립와이어 정책에 의해 검사된 파일에 변화를 자주 가한다면 트립와이어 데이터베이스를 주기적으로 업데이트해야 한다는 사실에도 기인한다. 처한 환경에 따라 이들 문제를 어떻게 감소시켜야 할 지 작업을 해야 한다.

약점의 문제는 파일시스템 무결성 검사가 실시간이 아니라 주기적으로 이뤄져야 한다는 사실에 기인한다. 그 이유는 실시간 파일시스템 검사가 엄청난 시스템 자원을 요구하며 시스템을 거의 중단시킬 정도로 성능을 떨어뜨려 어떤 일도 할 수 없기 때문이다. 예를 들어 주기적 검사의 문제는 한번의 검사 후 파일에 변화를 가하고 해커가 다음 번 검사 전에 이를 고칠 경우 트립와이어 (혹은 다른 검사 도구)는 변경사항을 보고할 것이고 당신은 변화가 당신 스스로에 의해 이뤄졌다고 여기거나 부정적 사건이 일어났다고 생각하지도 못할 것이다. 다른 보안조치처럼 트립와이어도 약점이 있다는 사실을 알아야 한다. 그러나 제대로 사용한다면 없을 때 보다 훨씬 개선된다는 장점이 있다.

이런 문제점들에도 불구하고 트립와이어는 시스템 보안의 강화를 위한 훌륭한 도구이며 사용을 하는 것이 훨씬 좋다. 다른 파일시스템 무결성 검사 도구에는 삼헤인(Samhain)과 에이드(Aide)가 있다. 트립와이어가 업계표준이기 때문에 그리고 가장 많이 쓰이는 도구이므로 이 기사에서 다루는 것이다. 그러나 선택권을 잘 활용하기를 바라며 각자의 필요성에 가장 잘 부합하는 하나 혹은 복수 개의 도구를 선택하기를 바란다. 도구를 여러 개 사용한다고 해서 추가의 이점이 있을 것 같지는 않지만 이 또한 주어진 정보를 통해 스스로 선택해야 할 사항인 것이다.

트립와이어 셋업
시스템에 처음 어떻게 트립와이어를 설치할 것인지의 여부는 당신에게 달렸다. 주요 리눅스 배포판은 소프트웨어 저장소에 트립와이어를 포함하고 있어서 배포판의 패키지 매니저를 이용해 소프트웨어를 다운로드하고 설치할 수 있다. 예를 들어, 데비안에서는 'apt-get install tripwire'라고 타이프하면 된다. 또한 소스포지(SourceForge)의 오픈소스 트립와이어 프로젝트에서 다운로드 받을 수도 있다.

설치방식에 따라 일부는 자동으로 셋업되는 경구가 있다. 일부 리눅스 배포판은 시스템 설정 유틸리티 프론트엔드를 제공해 보다 쉽게 트립와이어의 셋업 스크립트를 수행하도록 할 수 있다. 만약 그렇지 않거나 시스템이 제공하는 프론트엔드를 사용하지 않기로 한 경우라면 스스로 셋업을 해야 한다.

우선 루트 사용자로 로그인 한 후 /etc/tripwire 디렉토리로 들어간다. 거기서 twinstall.sh 스크립트를 수행하고 -init 스위치를 사용하여 트립와이어를 데이터베이스 초기화 모드에서 수행한다. 마지막으로 /etc/tripwire 디렉토리의 twcfg.txt 와 twpol.txt 파일을 제거한다. 이러한 일련의 명령어는 아래와 같으며 # 프롬프트는 당신이 루트 사용자임을 나타낸다.

# cd /etc/tripwire
# ./twinstall.sh
# tripwire --init
# rm twcfg.txt
# rm twpol.txt

twinstall.sh 스트립트가 없는 경구가 있다. 이럴 경우 twinstall.sh가 하는 일을 대신 해줘야 된다. 여기에는 정책의 무결성 확립을 위한 사이트와 로컬 키 생성 및 트립와이어의 설정 파일 생성이 포함된다. 계속 /etc/tripwire 디렉토리로부터 사이트 및 로컬 키를 만든다. 그리고 사이트 키로 설정 및 정책 파일을 사인(sign)한 후 마지막으로 파일 특권(permission)을 변경한다. 아래의 명령어 목록에서 "host" 는 실제 트립와이어가 설치되고 설정되는 로컬 시스템 이름으로 바꿔준다.

# twadmin --generate-keys --site-keyfilesite.key
# twadmin --generate-keys --local-keyfile host-local.key
# twadmin --create-cfgfile --cfgfiletw.cfg --site-keyfilesite.key twcfg.txt
# twadmin --create-polfile --cfgfiletw.cfg --site-keyfilesite.key twpol.txt
# chownroot:rootsite.key host-local.keytw.cfgtw.pol
# chmod 600 site.key host-local.keytw.cfgtw.pol

다 마치고 나면 twinstall.sh를 마치고 난 것처럼 다음의 3가지 명령을 실시한다.

# tripwire a€"init
# rm twcfg.txt
# rm twpol.txt

twcfg.txt 와 twpol.txt 파일을 지운 것은 보안을 위한 조치이다. tw.cfg와 tw.pol 파일이 실제 기능을 제공하며 두 가지 .txt 파일은 동일한 기능을 하지만 복사본이 생성되는 프레인-텍스트(plain-text) 버전에 지나지 않는다. 위의 단계를 밟기 전에 twcfg.txt와 twpol.txt 를 당신의 필요에 따라 바꾼다.

트립와이어 사용
한번 셋업되면 물론 트립와이어를 사용할 수 있다. 다음과 같이 간단한 명령을 넣으면 시작된다.

# tripwire --check

맨 페이지 (manpage) 외에도 --check 와 -help 옵션으로 트립와이어의 간단한 사용법을 볼 수 있다.

# tripwire --check --help

트립와이어로 무결성 점검을 하는 과정을 자동화하려면 정기적으로 스케줄된 시스템 점검의 일환으로 트립와이어를 크론 잡 엔트리(cron job entry)로 등록할 수 있다. 이는 /etc 디렉토리의 crontab 파일을 편집함으로써 이뤄진다. 혹은 /etc/cron.daily 디렉토리에 적절한 실행 스크립트를 추가한다. Crontab 파일을 편집하려면 원하는 텍스트 에디터에서 /etc/crontab 파일을 열고 트립와이어 검사를 위한 라인(line)을 추가한다. 예를 들어, 매일 오전 2:00시에 점검을 원하면 다음과 같이 입력한다.

0 2 * * * /usr/sbin/tripwire --check

그러나 더 좋은 방법은 이를 네트워크 상의 다른 컴퓨터에서 수행하여 로컬 시스템에서 트립와이어 무결성 점검을 수행하는 크론 잡을 해커가 훼손하지 못하도록 하는 것이다. 다른 컴퓨터의 crontab 파일에 다음 명령어를 추가하며 "target-host"는 원래 시스템의 호스트 이름이다.
0 2 * * * ssh -n -l root target-host /usr/sbin/tripwire a€"check

그러나 두 가지 경우 모두 훼손된 트립와이어 프로그램을 사용할 수 있는 위험부담은 있다. 트립와이어 바이너리와 키 파일을 CD-R에 굽고 여기서 프로그램을 돌리는 것이 낫다. 이는 twcfg.txt 파일을 사인하기 전에 편집해 트립와이어를 이와 같이 동작하게 함으로써 가능해진다. CD-ROM이 /mnt/cdrom에 마운트된다고 가정하면 /etc/twcfg.txt 파일에 다음과 같은 명령어를 준다.

ROOT=/mnt/cdrom
SITEKEYFILE=/mnt/cdrom/site.key
LOCALKEYFILE=/mnt/cdrom/host-local.key

변경된 파일에 반드시 사인을 하고 트립와이어 데이터베이스를 생성한 후 CD-R을 언마운트(unmount) 한다. 이렇게 할 경우 유일한 차이점은 사이트 키를 저장하도록 명시하느냐의 여부다. (다음 명령어는 현재 디렉토리가 /etc/tripwire 라고 가정한다.)

# twadmin --create-cfgfile --cfgfiletw.cfg --site-keyfile /mnt/cdrom/site.key twcfg.txt

이 동작이 끝나면 트립와이어 바이너리를 포함한 CD-R을 마운트, 실행하고 모든 과정이 끝나면 CD-R을 언마운트해서 시스템에서 제거 및 보관한다. 위와 같이 CD-R을 마운트한 후 cron job에서 점검할 수 있으며 이는 crontab 파일에 /usr/sbin/tripwire이 아니라 /mnt/cdrom/tripwire로 위치를 지정함으로써 가능하다.

키 파일(사이트 키와 로컬 키)과 바이너리 실행파일만 쓰기방지 매체에 저장할 필요가 있다. 이는 설정과 정책 파일에 일어난 변화가 사이트와 로컬 키에 의해 사인되지 않아서 탐지될 것이기 때문이다.

트립와이어 데이터베이스 업데이트
파일시스템에서 파일에 변화가 생기면 트립와이어는 이를 탐지한다. 일부 변화는 예측되고 기대되는 것이다. 파일에 변화를 가하면 트립와이어는 마치 해커가 공격한 것처럼 부지런하게 이를 보고한다. 중요한 것은 어떤 변화가 탐지되고 어떤 변화가 탐지되지 않아야 하는지 아는 것이다.

또한 데이터베이스를 업데이트해 이미 반영된 변경사항이 계속 탐지되도록 해서는 안 된다. 적법한 변화가 반영되고 나면 그리고 트립와이어가 이런 변화만이 있었다고 확인하고 나면 데이터베이스를 업데이트하여 제대로 된 변경사항에 대해 계속 업데이트하지 못하도록 한다. 다음 명령어가 트립와이어 데이터베이스를 업데이트하도록 한다.

# LASTREPORT=`ls -1t /var/lib/tripwire/report/host-*.twr |head -1`
# tripwire --update --twrfile "LASTREPORT"

트립와이어 설정을 이용해 파일시스템의 일부만 겨냥하거나 파일시스템의 특정 부분에 다른 우선순위를 주거나 트립와이어 데이터베이스에 파일을 일일이 추가하거나 제거할 수도 있다. 이런 설정 옵션은 제품 전개를 위해 트립와이어를 사용하거나 보다 적극적으로 그 기능을 이용할 필요가 있다고 판단됐을 때 귀중하게 사용될 수 있다. 그러나 이들은 이 기사의 범위를 넘는다.

이 모든 것은 트립와이어 기능의 빙산의 일각에 불과하다. 엄격하게 보안의 수준을 높이는 것은 트립와이어 사용으로 가능하다. 전체 네트워크를 위한 중앙 파일시스템 무결성 점검 도구로 수행되거나 윈도우 VFAT 파일 시스템에서 파일시스템 무결성을 점검하는데 사용될 수도 있다. (FAT16 혹은 FAT32 파일시스템).

그러나 최소한 로컬 시스템에서 매우 빠르게 변하는 파일시스템과 같은 예외상황을 제외한다면 못된 해커의 공격에 피해를 입지 않기 위해 트립와이어와 같은 무결성 점검 도구를 설치하는 것이 좋다.@