Tripwire und E-Mail

Tripwire kann E-Mails versenden, wenn eine bestimmte Regel der Policy-Datei verletzt wurde. Um Tripwire entsprechend zu konfigurieren, benötigen Sie zunächst die E-Mail-Adresse der in einem solchen Fall zu kontaktierenden Person sowie den Namen der Regel, die geprüft werden soll. Beachten Sie, dass es in großen Systemen mit mehreren Administratoren mehrere Personengruppen geben kann, die bei bestimmten Differenzen zu benachrichtigen sind, und dagegen geringfügigere Differenzen niemandem gemeldet werden.

Wenn Sie wissen, wer zu benachrichtigen ist und was gemeldet werden soll, dann fügen Sie eine emailto= Zeile in den Abschnitt der Anweisungen jeder einzelnen Regel hinzu. Geben Sie hierzu ein Komma nach der severity= Zeile ein und setzen Sie emailto= auf die nachfolgende Zeile. Geben Sie hier die E-Mail-Adressen an, die die Berichte für die entsprechende Regel erhalten sollen. Es werden multiple E-Mails gesendet, wenn mehrere Adressen angegeben sind (die Sie durch ein Semikolon trennen müssen).

Wenn Sie zum Beispiel möchten, dass zwei Administratoren (in diesem Beispiel "Karl" und "Otto") benachrichtigt werden, wenn ein Netzwerkprogramm geändert wurde, dann ändern Sie die Anweisung der entsprechenden Regel in der Policy-Datei wie folgt:

(
  rulename = "Networking Programs",
  severity = $(SIG_HI),
  emailto = karl@domain.com;otto@domain.com
)

Nachdem eine neue, unterzeichnete Policy-Datei aus der /etc/tripwire/twpol.txt Datei erstellt wurde, wird eine Meldung mit den Differenzen in Bezug auf die spezifische Regel an die angegebenen E-Mail-Adressen gesendet. Anweisungen über das Unterzeichnen Ihrer Policy-Datei finden Sie unter Abschnitt namens Aktualisieren der Policy-Datei.

/usr/sbin/tripwire --test --email Ihre@E-Mail.Adresse