Tripwire et courrier électronique

Tripwire peut envoyer des messages électroniques d'alerte si un type de règle spécifié contenu dans le fichier de politiques est enfreint. Pour configurer Tripwire de sorte qu'il exécute cette fonction, vous devez d'abord connaître l'adresse électronique du destinataire des messages en cas de violation et le nom de la règle que vous voulez surveiller. Notez également que sur les systèmes importants ayant plusieurs administrateurs système, vous pouvez faire en sorte que des groupes d'individus différents soient avertis selon les violations commises ou que personne ne soit averti lors de violations mineures.

Une fois que vous savez qui avertir et pour quelles raisons, ajoutez une ligne emailto= dans la section des directives des règles de chaque règle désirée. Vous n'avez qu'à ajouter une virgule après la ligne severity= d'une règle désirée et entrer emailto= sur la ligne suivante, suivi des adresses électroniques des personnes à qui vous voulez qu'un rapport de violation pour cette règle soit envoyé. Les messages seront envoyés à plus d'une personne si plus d'une adresse est spécifiée et que les adresses sont séparées par un point-virgule.

Par exemple, si vous désirez avertir deux administrateurs, Sam et Bob, lorsqu'un programme de connexion au réseau est modifié, changez la directive de la règle des programmes de connexion au réseau dans le fichier de politiques de sorte qu'elle ressemble à ceci :

(
  rulename = "Networking Programs",
  severity = $(SIG_HI),
  emailto = bob@domain.com;sam@domain.com
)

Après la génération d'un nouveau fichier de politiques signé à partir du fichier /etc/tripwire/twpol.txt, des messages sont envoyés aux adresses électroniques indiquées dès qu'il y a violation des règles spécifiées. Si vous désirez avoir plus de détails sur la façon de signer votre fichier de politiques, reportez-vous à la la section intitulée Mise à jour du fichier de politiques.

L'envoi d'un message électronique test

Afin de vous assurer que la configuration de l'envoi de messages électroniques d'avertissement est correcte et que Tripwire est en mesure d'envoyer les messages, utilisez la commande suivante :

/usr/sbin/tripwire --test --email vos@adresses_électroniques

Un message est ainsi envoyé immédiatement par le programme tripwire aux adresses électroniques indiquées.