Red Hat Linux 7.1: Guide de référence officiel Red Hat Linux | ||
---|---|---|
Précédent | Chapitre 10. Installation et configuration de Tripwire | Suivant |
Si vous désirez changer les fichiers que Tripwire enregistre dans sa base de données ou modifier la sévérité avec laquelle les violations sont rapportées, vous devez modifier le fichier de politiques de Tripwire.
Premièrement, apportez tous les changements nécessaires à l'exemple de fichier de politiques (/etc/tripwire/twpol.txt). L'un des changements couramment apportés à ce fichier est d'indiquer (mettre un # devant) tous les fichiers qui n'existent pas sur le système, de sorte qu'ils ne puissent provoquer un message d'erreur file not found dans les rapports de Tripwire. Si, par exemple, votre système ne possède pas le fichier /etc/smb.conf, vous pouvez spécifier à Tripwire de ne pas essayer de le trouver en mettant un # devant sa ligne dans twpol.txt, comme ceci :
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Ensuite, vous devez indiquer à Tripwire de générer un nouveau fichier /etc/tripwire/tw.pol signé et puis un fichier mis à jour de la base de données en fonction des nouvelles informations contenues dans le fichier de politiques. Imaginons que /etc/tripwire/twpol.txt est le fichier de politiques modifié. Il faudrait alors utiliser la commande suivante :
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Puis, on vous demande la phrase d'accès du site, après quoi le fichier twpol.txt est analysé et signé.
Il est très important que vous mettiez à jour votre base de données Tripwire après la création d'un nouveau fichier /etc/tripwire/tw.pol. La façon la plus efficace pour faire cette opération est d'éliminer votre base de données Tripwire existante et d'en créer une nouvelle au moyen du nouveau fichier de politiques.
Si votre fichier de base de données Tripwire s'appelle wilbur.domain.com.twd, entrez cette commande :
rm /var/lib/tripwire/wilbur.domain.com.twd |
Ensuite, entrez la commande suivante pour créer une nouvelle base de données :
/usr/sbin/tripwire --init |
Une nouvelle base de donnée est ainsi créée selon les les instructions renfermées dans le nouveau fichier de politiques. Pour vous assurer que la base de données a été modifiée correctement, faites une première vérification d'intégrité manuellement et visualisez le contenu du rapport produit. Consultez la la section intitulée Exécution d'une vérification d'intégrité et la la section intitulée Impression des rapports pour avoir des instructions plus spécifiques là-dessus.
Le fichier texte contenant les changements du fichier de configuration (généralement /etc/tripwire/twcfg.txt) doit être signé afin qu'il remplace le fichier /etc/tripwire/tw.cfg et qu'il soit utilisé par Tripwire lors de l'exécution des vérifications d'intégrité. Tripwire ne reconnaît aucun changement de configuration tant que le fichier texte de configuration n'est pas correctement signé et utilisé à la place du fichier /etc/tripwire/tw.pol.
Si votre fichier texte de configuration modifié est /etc/tripwire/twcfg.txt, tapez la commande suivante pour le signer et faire en sorte qu'il remplace le fichier /etc/tripwire/tw.pol existant :
/usr/sbin/twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt |
Etant donné que le fichier de configuration ne modifie pas les politiques Tripwire ou les fichiers qu'il contrôle, il est inutile de régénérer la base de données des fichiers système contrôlés.
Précédent | Sommaire | Suivant |
Mise à jour de la base de données après une vérification d'intégrité | Niveau supérieur | Tripwire et courrier électronique |