Tripwire y el correo electrónico

Tripwire puede enviar un mensaje de correo electrónico a alguien si se ha violado un tipo específico de regla en el fichero de política. Para configurar Tripwire de manera que haga esto, primero hay que saber la dirección de correo electrónico de la persona que recibirá el mensaje si ocurre un determinado tipo de violación a la integridad, además del nombre de la regla que desea supervisar. Nótese que en sistemas grandes con administradores múltiples, puede avisar diferentes conjuntos de personas para determinadas violaciones y no avisarle a nadie si ocurren sólo violaciones menores.

Una vez que se sabe a quién avisar y sobre qué avisar, añada la línea emailto= a la sección de directivas de reglas de cada regla. Hágalo añadiendo una coma después de la línea severity= y poniendo emailto= en la línea siguiente, seguida por las direcciones de correo electrónico a las cuales enviar los informes de violaciones a esa regla. Se enviarán mensajes de correo electrónico múltiples si más de una dirección de correo electrónico ha sido especificada y si están separadas por un punto y coma.

Si por ejemplo usted quisiera que a dos administradores, Sam y Bob, se les avise que se ha modificado el programa de red, cambie la directiva de la regla de Programas de Red en el fichero de política de esta manera:

(
  rulename = "Networking Programs",
  severity = $(SIG_HI),
  emailto = bob@domain.com;sam@domain.com
)

Cuando se haya generado un fichero de política firmado nuevo desde el fichero /etc/tripwire/twpol.txt, las direcciones de correo electrónico especificadas recibirán un aviso cuando ocurran violaciones a esa determinada regla. Para obtener las instrucciones sobre cómo firmar su fichero de política, consulte la la sección de nombre Actualización del fichero de política.

Envío de mensajes de correo electrónico de prueba

Para asegurarse que la configuración para los avisos de correo electrónico por parte de Tripwire realmente sea capaz de enviar mensajes de correo electrónico correctamente, use el siguiente comando:

/usr/sbin/tripwire --test --email your@email.address

Se enviará inmediatamente un mensaje de correo electrónico de prueba a la dirección de correo electrónico por medio del programa tripwire.