19.7. Tripwire データベース更新
保全性チェックを実行して違反が見つかった場合、まず最初に、発見された違反が現実のセキュリティ侵害なのか、正当な変更によるものかを判断する必要があります。最近、アプリケーションのインストールや重要なシステムファイルの編集をした場合、Tripwireは保全性チェック違反を正しく報告します。この場合、Tripwireデータベースを更新して、以後それらの変更が違反として報告されないようにします。一方、システムファイルに対して不正な変更がされていて保全性チェック違反が報告された場合は、バックアップからオリジナルのファイルを復元するか、違反が極端な場合はオペレーティングシステムを再インストールします。
Tripwireデータベースを更新してレポート内の違反を承認するには、Tripwireは先ずデータベースに対してレポートファイルを相互参照して、その 後、レポートファイルから承認できる違反を統合します。データベースを更新する時には、最新のレポートを使用するように気を付けて下さい。
Tripwireデータベースを更新するには、次のコマンドを(すべて1行で)入力します。 ここでnameとは最新のレポートファイルの事です:
/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<name>.twr |
Tripwireは、その設定ファイル内のEDITOR行で指定した デフォルトのテキストエディタを使用してレポートファイルを表示します。 ここで、Tripwireデータベース内に更新したくないファイルがあれば、選択を解除できます。
 | 重要 |
|---|---|
データベースの中では、承認された保全性違反のみを変更することが重要です。 |
Tripwireデータベースの更新予定のすべては、ファイル名の前が[x]で 始まります。以下の例のようになります:
Added: [x] "/usr/sbin/longrun" Modified: [x] "/usr/sbin" [x] "/usr/sbin/cpqarrayd" |
承認された保全性違反を特定して、Tripwireデータベースへの追加から外すには xを取り除きます。
デフォルトのテキストエディタviの中でファイルを編集するには、
iを入力して
エディタが閉じてから、ローカルパスワードを入力するとデータベースが 再構成され、署名されます。
新規のTripwireデータベースが書き込まれた後は、新しく承認された保全性違反には 警告表示が出なくなります。