Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
---|---|---|
Indietro | Capitolo 10. Installazione e configurazione di Tripwire | Avanti |
Se desiderate modificare i file di record nel database di Tripwire oppure la "severità" per la verifica delle violazioni, modificate il file di policy Tripwire.
Innanzitutto, effettuate tutte le modifiche necessarie al file di policy d'esempio (/etc/tripwire/twpol.txt). Una modifica che di solito viene apportata è il commento a tutti i file non esistenti sul sistema. In questo modo non verrà visualizzato il messaggio di errore file non trovato nei report di Tripwire. Per esempio, se sul vostro sistema non è presente un file chiamato /etc/smb.conf, specificate a Tripwire di non cercarlo, commentando la riga nel file twpol.txt:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
È poi necessario indicare a Tripwire di creare un nuovo file /etc/tripwire/tw.pol firmato e di generare un file del database aggiornato in base a queste informazioni di policy. Ponendo il caso che /etc/tripwire/twpol.txt sia il file di policy modificato, usate questo comando:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Vi verrà richiesta la password per la chiave del sito. A questo punto il file twpol.txt viene analizzato e firmato.
È importante aggiornare il database di Tripwire, dopo aver creato un nuovo file /etc/tripwire/tw.pol. Il modo più affidabile per farlo è cancellare il database di Tripwire e creare un nuovo database utilizzando un nuovo file di policy.
Se il file del database di Tripwire si chiama wilbur.domain.com.twd, digitate questo comando:
rm /var/lib/tripwire/wilbur.domain.com.twd |
Digitate poi il comando per creare un nuovo database:
/usr/sbin/tripwire --init |
Il nuovo database viene creato in base alle istruzioni contenute nel file di policy. Per assicurarvi che il database sia stato modificato in modo corretto, eseguite manualmente il primo controllo dell'integrità e visualizzate i contenuti del report risultante. Per istruzioni specifiche relative a questi punti, consultate la la sezione Controllo dell'integrità e la la sezione Visualizzazione dei report.
Il file di testo con le modifiche del file di configurazione (di solito /etc/tripwire/twcfg.txt) deve essere firmato per sostituire /etc/tripwire/tw.cfg e per essere usato da Tripwire durante il controllo dell'integrità. Tripwire non riconosce le modifiche nella configurazione fino a quando il file di testo della configurazione non viene firmato correttamente e utilizzato per sostituire il file /etc/tripwire/tw.pol.
Se il file di configurazione è /etc/tripwire/twcfg.txt, digitate questo comando per firmarlo e per sostituire l'attuale file /etc/tripwire/tw.pol:
/usr/sbin/twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt |
Poiché il file di configurazione non modifica i file di Tripwire rilevati dall'applicazione, non è necessario rigenerare il database dei file di sistema controllati.