Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 10 Installieren und Konfigurieren von Tripwire | Vor |
Die Tripwire Policy-Datei ist eine Textdatei mit Kommentaren, Regeln, Anweisungen und Variablen. Sie bestimmt die Art, mit der Tripwire Ihr System prüft. Jede in dieser Datei enthaltene Regel gibt ein Systemobjekt an, das geprüft werden soll. Weiterhin bestimmen diese Regeln, welche Änderungen in einem Bericht angezeigt und welche ignoriert werden sollen.
Systemobjekte sind die Dateien und Verzeichnisse, die überprüft werden sollen. Jedes Objekt besitzt einen Namen. Eine Eigenschaft bezieht sich auf ein einzelnes Objektmerkmal, das Tripwire überprüft. Anweisungen verwalten die bedingte Verarbeitung von Regelsätzen in einer Policy-Datei. Bei der Installation wird die textbasierte Policy-Datei verschlüsselt, umbenannt und in die effektive Policy-Datei (/etc/tripwire/tw.pol) umgewandelt.
Nach der ersten Initialisierung verwendet Tripwire die Regeln der unterzeichneten Policy-Dateien, um die Datenbankdatei (/var/lib/tripwire/Rechner_Name.twd) zu erstellen. Diese Datei enthält eine Übersicht über das System in einem bekannten sicheren Status. Tripwire vergleicht diese Basisdatei mit dem aktuellen System, um eventuelle Änderungen zu ermitteln. Dieser Vorgang ist die sog. Integritätsprüfung.
Bei der Integritätsprüfung erstellt Tripwire Berichtdateien im /var/lib/tripwire/report Verzeichnis. In diesen Dateien sind kurz die Änderungen dargestellt, die nicht den Regeln der Policy-Dateien entsprechen.
In der Tripwire Konfigurationsdatei (/etc/tripwire/tw.cfg) werden systemspezifische Informationen wie die Speicherstellen von Tripwire Datendateien gespeichert. Tripwire generiert bei der Installation die notwendigen Informationen für die Konfigurationsdatei, der Systemadministrator kann die Parameter dieser Datei jedoch jederzeit ändern. Beachten Sie, dass die geänderte Konfigurationsdatei ebenso unterzeichnet werden muss wie die Policy-Datei, damit sie standardmäßig verwendet werden kann.
Die Variablen der Konfigurationsdatei POLFILE, DBFILE, REPORTFILE, SITEKEYFILE und LOCALKEYFILE geben die Speicherstellen der Policy-Datei, der Datenbankdatei, der Berichtdateien und der Dateien der Siteschlüssel sowie der lokalen Schlüssel an. Diese Variablen werden standardmäßig bei der Installation definiert. Wenn Sie die Konfigurationsdatei bearbeiten und eine oder mehrere der Variablen nicht definieren, wird diese Datei von Tripwire als ungültig betrachtet. Dies verursacht einen Fehler und beendet das Programm.
Beachten Sie, dass die geänderte Konfigurationsdatei ebenso unterzeichnet werden muss wie die Policy-Datei, so dass sie von Tripwire verwendet werden kann. Anweisungen für die Unterzeichnung der Konfigurationsdatei finden Sie unter Abschnitt namens Unterzeichnen der Konfigurationsdatei.