Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 10 Installieren und Konfigurieren von Tripwire | Vor |
Wenn Sie die Dateien, die Tripwire in der Datenbank aufzeichnet, oder die Kriterien, nach denen die Differenzen angezeigt werden, ändern möchten, dann müssen Sie die Tripwire Datei bearbeiten.
Führen Sie zunächst alle notwendigen Änderungen am Beispiel der Policy-Datei (/etc/tripwire/twpol.txt) aus. Dabei müssen alle Dateien auskommentiert werden, die nicht in Ihrem System existieren, um zu vermeiden, dass der Fehler Datei nicht gefunden in den Tripwire Berichten angezeigt wird. Wenn in Ihrem System beispielsweise die Datei /etc/smb.conf nicht existiert, dann können Sie Tripwire durch Auskommentieren der entsprechenden Zeile in twpol.txt anweisen, nicht nach dieser Datei zu suchen:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Anschließend müssen Sie Tripwire anweisen, eine neue, unterzeichnete /etc/tripwire/tw.pol Datei und dann eine aktualisierte Datenbankdatei zu erstellen. Wenn zum Beispiel /etc/tripwire/twpol.txt die bearbeitete Datei ist, verwenden Sie den folgenden Befehl:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Sie werden nun aufgefordert, den Site-Schlüssel einzugeben. Anschließend wird die twpol.txt Datei analysiert und unterzeichnet.
Es ist sehr wichtig, dass Sie die Tripwire Datenbank aktualisieren, nachdem eine neue /etc/tripwire/tw.pol Datei erstellt wurde. Die zuverlässigste Methode ist, Ihre derzeitige Tripwire zu löschen und mithilfe der Policy-Datei eine neue Datenbank zu generieren.
Geben Sie den folgenden Befehl ein, wenn Ihre If your Tripwire Datenbankdatei den Namen wilbur.domain.com.twd trägt:
rm /var/lib/tripwire/wilbur.domain.com.twd |
Geben Sie anschließend den Befehl ein, um eine neue Datenbank zu erstellen:
/usr/sbin/tripwire --init |
Auf der Grundlage der Anweisungen in der Policy-Datei wird eine neue Datenbank erstellt. Um sicherzustellen, dass die Datenbank korrekt geändert wurde, sollten Sie die erste Integritätsprüfung starten und den Inhalt des generierten Berichts kontrollieren. Unter Abschnitt namens Ausführen einer Integritätsprüfung und Abschnitt namens Drucken der Berichte finden Sie genaue Anweisungen hierüber.
Die Textdatei mit den Änderungen der Konfigurationsdatei (generell /etc/tripwire/twcfg.txt) muss unterzeichnet werden, um /etc/tripwire/tw.cfg zu ersetzen und um von Tripwire bei der Integritätsprüfung verwendet zu werden. Tripwire erkennt Änderungen erst dann an, wenn die textbasierte Konfigurationsdatei korrekt unterzeichnet und verwendet wurde, um die /etc/tripwire/tw.pol zu ersetzen.
Wenn Ihre geänderte textbasierte Konfigurationsdatei /etc/tripwire/twcfg.txt ist, geben Sie den folgenden Befehl ein, um sie zu unterzeichnen und um die aktuelle /etc/tripwire/tw.pol Datei zu ersetzen:
/usr/sbin/twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt |
Da die Konfigurationsdatei weder die Policy-Datei von Tripwire noch die von der Anwendung ermittelten Dateien ändert, ist es auch nicht notwendig, die Datenbank der geprüften Systemdateien neu zu generieren.