Wenn Sie die Dateien, die Tripwire in der Datenbank aufzeichnet, ändern möchten oder die E-Mail-Konfiguration, oder die Kriterien, nach denen die Differenzen angezeigt werden, dann müssen Sie die Tripwire-Policy- Datei bearbeiten.
Führen Sie zunächst alle notwendigen Änderungen am Beispiel der Policy-Datei (/etc/tripwire/twpol.txt) aus. Haben Sie diese Datei gelöscht, (was der Fall sein sollte, wann immer Sie mit der Konfiguration von Tripwire fertig sind), können Sie sie durch Eingabe des folgenden Befehls neu generieren:
twadmin --print-polfile > /etc/tripwire/twpol.txt |
Eine gängige Änderung an dieser Policy-Datei ist das Auskommentieren sämtlicher Dateien, die nicht in Ihrem System existieren, um zu vermeiden, dass der Fehler Datei nicht gefunden in den Tripwire Berichten angezeigt wird. Wenn in Ihrem System beispielsweise die Datei /etc/smb.conf nicht existiert, dann können Sie Tripwire anweisen durch Auskommentieren der entsprechenden Zeile in twpol.txt mit dem Zeichen #, wie in folgendem Beispiel angegeben, nicht nach dieser Datei zu suchen:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Anschließend müssen Sie eine neue, unterzeichnete /etc/tripwire/tw.pol Datei und eine aktualisierte Datenbankdatei aufgrund dieser Policy-Information erstellen. Angenommen /etc/tripwire/twpol.txt ist die bearbeitete Policy-Datei, verwenden Sie folgenden Befehl:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Sie werden nun aufgefordert, den Site-Schlüssel einzugeben. Anschließend wird die twpol.txt Datei verschlüsselt und unterzeichnet.
Es ist sehr wichtig, dass Sie die Tripwire Datenbank aktualisieren, nachdem eine neue /etc/tripwire/tw.pol Datei erstellt wurde. Die zuverlässigste Methode ist, Ihre derzeitige Tripwire zu löschen und mithilfe der Policy-Datei eine neue Datenbank zu generieren.
Geben Sie den folgenden Befehl ein, wenn Ihre Tripwire Datenbankdatei den Namen wilbur.domain.com.twd trägt:
rm /var/lib/tripwire/bob.domain.com.twd |
Geben Sie anschließend den Befehl ein, um eine neue Datenbank anhand der aktualisierten Policy-Datei zu erstellen:
/usr/sbin/tripwire --init |
Um sicherzustellen, dass die Datenbank korrekt geändert wurde, sollten Sie die erste Integritätsprüfung starten und den Inhalt des generierten Berichts kontrollieren. Unter Abschnitt 19.5 und Abschnitt 19.6.1 finden Sie mehr zur Durchführung dieser Aufgaben.
Sie können Tripwire so konfigurieren, dass es eine E-Mail an ein oder mehrere Accounts versendet, wenn eine bestimmte Art der Policy verletzt wurde. Dazu benötigen Sie die Policy-Regel, die überwacht werden soll und den Namen der Person, die die E-Mail bekommen soll, wenn gegen diese Regeln verstoßen wird. Beachten Sie, dass es in großen Systemen mit mehreren Administratoren je nach Art der Differenzen mehrere Personengruppen geben kann, die zu benachrichtigen sind.
Nachdem Sie festgelegt haben, wer zu benachrichtigen ist und welche Regelverstöße gemeldet werden sollen, bearbeiten Sie die Datei etc/tripwire/twpol.txt und fügen Sie dann eine emailto= Zeile in den Abschnitt der Anweisungen jeder einzelnen Regel hinzu. Geben Sie hierzu ein Komma nach der severity= Zeile ein und setzen Sie emailto= auf die nachfolgende Zeile, gefolgt von einer oder mehreren E-Mail-Adressen. Es kann mehr als eine E-Mail-Adresse angegeben werden, wenn diese durch ein Semikolon getrennt werden.
Wenn zum Beispiel zwei Administratoren, hier Johnray und Bob, benachrichtigt werden sollen, wenn ein Netzwerkprogramm geändert wurde, dann ändern Sie die Anweisung der entsprechenden Regel in der Policy-Datei wie folgt:
( rulename = "Networking Programs", severity = $(SIG_HI), emailto = johnray@domain.com;bob@domain.com ) |
Folgen Sie nach Änderung der Policy-Datei den Anweisungen in Abschnitt 19.8 um eine aktualisierte, verschlüsselte und unterzeichnete Kopie der Tripwire Policy-Datei zu erstellen.
Zurück | Zum Anfang | Vor |
Aktualisieren der Tripwire Datenbank | Zum Kapitelanfang | Aktualisieren der Tripwire-Konfigurationsdatei |