Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 10 Installieren und Konfigurieren von Tripwire | Vor |
Wenn Sie eine Integritätsprüfung ausführen und Tripwire Differenzen ermittelt, müssen Sie zunächst bestimmen, ob diese Differenzen tatsächlich Verletzungen der Sicherheit darstellen oder ob es sich dabei eventuell um berechtigte Änderungen handelt. Wenn Sie kürzlich eine Anwendung installiert oder kritische Systemdateien bearbeitet haben, dann weist Tripwire (korrekterweise) darauf hin. In diesem Fall sollten Sie Ihre Tripwire Datenbank aktualisieren, so dass diese Änderungen nicht mehr als Differenzen angezeigt werden. Wurden jedoch unberechtigte Änderungen an Dateien vorgenommen, die ebenfalls Differenzen generieren, dann müssen Sie die ursprüngliche Datei wiederherstellen, wozu Sie eine Sicherheitskopie benötigen oder aber das Programm neu installieren müssen.
Um Ihre Tripwire dahingehend zu aktualisieren, dass sie die ermittelten Differenzen akzeptiert, müssen Sie den Bericht angeben, der hierzu verwendet werden soll. Bei der Eingabe des Befehls, mit dem diese gültigen Differenzen in Ihre Datenbank integriert werden, müssen Sie sicherstellen, dass Sie den aktuellsten Bericht verwenden. Geben Sie den folgenden Befehl (auf einer einzigen Zeile) ein, wobei Name der Name des zu verwendenden Berichts ist:
/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<Name>.twr |
Tripwire zeigt den gewünschten Bericht mithilfe des standardmäßigen Texteditors (der in der Tripwire Konfigurationsdatei in der Zeile EDITOR angegeben ist) an. An dieser Stelle können Sie Dateien deselektieren, die in der Tripwire Datenbank nicht aktualisiert werden sollen. Achten Sie dabei darauf, das nur berechtigte Differenzen in dieser Datenbank aufgenommen werden.
Alle der Tripwire Datenbank vorgelegten Aktualisierungen sind mit einem [x] vor dem Dateinamen gekennzeichnet. Wenn Sie nicht möchten, dass eine gültige Differenz in die Tripwire Datenbank aufgenommen wird, dann entfernen Sie das x aus dem Kästchen. Schreiben Sie die Dateien mit einem x, die Sie integrieren möchten, in den Editor und beenden Sie den Texteditor. Damit weisen Sie Tripwire an, die Datenbank zu aktualisieren und diese Dateien nicht mehr als Differenzen anzuzeigen.
Der standardmäßige Texteditor für Tripwire ist vi. Um die Datei mit vi zu schreiben und die Änderungen in der Tripwire Datenbank bei der Aktualisierung mit einem spezifischen Bericht vorzunehmen, geben Sie :wq im Befehlsmodus von vi ein und drücken Sie die Eingabetaste. Sie werden nun aufgefordert, Ihren lokalen Schlüssel einzugeben. Anschließend wird eine neue Datenbankdatei für die gültigen Differenzen geschrieben.
Nachdem eine neue Tripwire Datenbank geschrieben wurde, werden die zuvor berechtigten Differenzen nicht mehr in der Warnmeldung der nächsten Integritätsprüfung angezeigt.