Actualización de la base de datos después de un control de integridad

Si ejecuta un control de integridad y Tripwire encuentra violaciones, primero habrá que determinar si las violaciones detectadas son realmente brechas en la seguridad o el producto de modificaciones autorizadas. Si ha instalado recientemente una aplicación o ha modificado ficheros de sistema esenciales, Tripwire le informará (debidamente) de violaciones a la integridad. En este caso debería actualizar su base de datos Tripwire para que esos cambios no vuelvan a aparecer en los informes como violaciones. Sin embargo, si se efectúan cambios no autorizados a ficheros de sistema, generando violaciones al control de integridad, entonces debería restablecer el fichero original de una copia de seguridad o reinstalar el programa.

Para actualizar su base de datos de Tripwire de modo que acepte las violaciones encontradas en un informe, debe especificar el informe que desea usar para actualizar su base de datos. Cuando inicie un comando para integrar esas violaciones válidas en su base de datos, asegúrese de usar el informe más reciente. Teclee el siguiente comando (todo en una línea), donde name es el nombre del informe que deber usarse:

/usr/sbin/tripwire --update --twrfile
          /var/lib/tripwire/report/<name>.twr

Tripwire le mostrará el informe específico por medio del editor de textos predeterminado (especificado en el fichero de configuración Tripwire en la línea EDITOR). Esta es su oportunidad para quitar de la selección ficheros que no desea que se actualicen en la base de datos de Tripwire. Es importante que permita que sólo se cambien las violaciones autorizadas a la integridad en la base de datos.

Todas las actualizaciones propuestas a la base de datos de Tripwire inician con una [x] antes del nombre del fichero. Si desea excluir específicamente que una violación válida sea añadida a la base de datos de Tripwire, quite la x de la casilla. Para aceptar como cambio cualquier fichero con la x al lado, escriba el fichero en el editor y salga del editor de textos. Esto da la señal a Tripwire de modificar su base de datos y no incluir estos ficheros como violaciones en el informe.

Por ejemplo, el editor de texto predeterminado para Tripwire es vi. Para escribir un fichero con vi y efectuar los cambios a la base de datos de Tripwire cuando actualice con un informe específico, teclee :wq en el modo de comando de vi y pulse Intro. Se le pedirá que teclee su frase de contraseña local. Posteriormente se escribirá un fichero nuevo de base de datos que incluya las violaciones válidas.

Después de que se haya escrita una nueva base de datos de Tripwire, las violaciones a la integridad recién integradas no volverán a aparecer como advertencias cuando se ejecute el siguiente control de integridad.