9.2. 호스트 기반 IDS

9.2.1. Tripwire

Tripwire는 리눅스에서 가장 많이 사용되는 호스트 기반 IDS 입니다. Tripwire를 개발한 Tripwire, Inc.에서는 리눅스 버전 용 소프트웨어 소스 코드를 공개했으며 GNU 일반 공중 사용 허가서의 조항에 따라 라이센스를 획득했습니다. Tripwire는 http://www.tripwire.org/ 사이트에서 찾으실 수 있습니다.

	알림
	Tripwire는 Red Hat Enterprise Linux에 포함되어 있지 않으며 지원되지 않습니다. 이 문서에서는 이 응용 프로그램을 사용하고자 하시는 사용자를 위한 참고 자료로서 언급되었습니다.

9.2.2. IDS로 사용되는 RPM

RPM 패키지 관리자 (RPM)는 호스트 기반 IDS로 사용될 수 있는 또 다른 프로그램입니다. RPM은 패키지 및 패키지의 내용을 조회할 수 있는 다양한 옵션을 포함하고 있습니다. 이러한 검증 옵션은 관리자가 수정되었는지 의심이 가는 중요한 시스템 파일과 실행 파일을 검증할 수 있게 해줍니다.

다음 목록에서는 Red Hat Enterprise Linux 시스템에서 파일 무결성을 확인하는데 사용 가능한 RPM 옵션들을 보여줍니다. Red Hat Enterprise Linux 시스템 관리 가이드에서 RPM 사용 방법에 대한 자세한 정보를 찾으실 수 있습니다.

	중요
	다음 목록에 나온 일부 명령을 실행하기 위해서는 시스템의 RPM 키링에 Red Hat GPG 공개키를 가져와야 합니다. 이 키는 시스템 상에 설치된 패키지가 Red Hat 패키지 서명을 가지고 있는지 확인하는 역할을 합니다. 서명을 확인함으로서 이 패키지가 Red Hat에서 제공한 것임을 보장할 수 있습니다. 루트로 로그인하신 후 다음 명령을 입력하여 키를 가져오기(import) 하실 수 있습니다. (<version> 부분을 시스템에 설치된 RPM 버전으로 바꾸십시오): rpm --import /usr/share/doc/rpm-<version>/RPM-GPG-KEY

RPM은 설치된 패키지와 RPM 패키지 파일을 다양한 방법으로 검증할 수 있는 강력한 도구입니다. Red Hat Enterprise Linux를 설치하신 후 RPM 데이터베이 디렉토리 (/var/lib/rpm/)의 내용을 CD-ROM과 같은 읽기 전용 매체에 백업하시기 바랍니다. 백업본을 가지고 계시면 만일 악의를 가진 사용자가 시스템 상 데이터베이스를 손상시키고 결과를 왜곡할 경우에 파일과 패키지를 시스템 데이터베이스에 비교하지 않고 읽기 전용 데이터베이스에 비교하여 올바른 결과를 얻을 수 있습니다.

9.2.3. 다른 호스트 기반 IDS

다음 목록에서는 자주 사용되는 기타 다른 호스트 기반 침입 탐지 시스템에 대하여 설명하고 있습니다. 이 IDS를 설치하고 설정하는 방법에 대하여 보다 자세한 정보를 원하신다면 각 시스템의 웹사이트를 참조하시기 바랍니다.

	알림
	이 프로그램들은 Red Hat Enterprise Linux에 포함되어 있지 않으며 지원되지 않습니다. 이 문서에서는 이 응용 프로그램을 사용하고자 하시는 사용자를 위한 참고 자료로서 언급되었습니다.

• SWATCH http://sourceforge.net/projects/swatch/ — Simple WATCHer (SWATCH) 프로그램은 syslog이 생성한 로그 파일을 사용하여 사용자 설정 파일에 예외적인 증상이 발견될 경우 관리자에게 통보합니다. SWATCH는 사용자가 설정 파일에서 모니터하고 싶은 사건을 기록하도록 설계되었지만, 현재 호스트 기반 IDS로 널리 사용되고 있습니다.

• LIDS http://www.lids.org/ — 리눅스 침입 탐지 시스템 (LIDS)은 커널 패키와 관리 도구로서 ACL (접근 제어 목록)을 사용하여 파일 수정을 제어할 수 있으며 루트 사용자도 프로세스와 파일을 수정하지 못하도록 보고 가능합니다.