19.10. Hinweis zum Tripwire Datei-Speicherplatz

Bevor Sie mit Tripwire arbeiten, sollten Sie wissen, wo für die Anwendung wichtige Dateien abgelegt sind. Tripwire speichert die zugehörigen Dateien je nach Funktion an verschiedenen Stellen:

Der nächste Abschnitt erklärt Näheres über die Rollen dieser Dateien im Tripwire-System.

19.10.1. Tripwire Komponenten

Die folgende Beschreibung enthält Einzelheiten zu den Rollen, die die im vorhergehenden Abschnitt aufgeführten Dateien im Tripwire-System spielen.

/etc/tripwire/tw.cfg

Dies ist die verschlüsselte Tripwire-Konfigurationsdatei, in der systemspezifische Informationen, wie der Speicherplatz von Tripwire-Datendateien, hinterlegt werden. Das twinstall.sh Installationsskript und twadmin Befehl erzeugen diese Datei anhand von Informationen in der Textversion der Konfigurationsdatei /etc/tripwire/twcfg.txt.

Nach Durchführen des Installations-Skripts kann der Systemadministrator die Parameter durch Bearbeiten von /etc/tripwire/twcfg.txt ändern und anhand des twadmin Befehls eine unterzeichnete Kopie der tw.cfg Datei neu erzeugen. Weitere Informationen hierzu finden Sie unter Abschnitt 19.9.

/etc/tripwire/tw.pol

Die aktive Tripwire Policy-Datei ist eine verschlüsselte Datei mit Kommentaren, Regeln, Anweisungen und Variablen. Sie bestimmt die Art, mit der Tripwire Ihr System prüft. Jede in dieser Datei enthaltene Regel gibt ein Systemobjekt an, das geprüft werden soll. Weiterhin bestimmen diese Regeln, welche Änderungen in einem Bericht angezeigt und welche ignoriert werden sollen.

Systemobjekte sind die Dateien und Verzeichnisse, die überprüft werden sollen. Jedes Objekt besitzt einen Namen. Eine Eigenschaft bezieht sich auf ein einzelnes Objektmerkmal, das Tripwire überprüft. Anweisungen verwalten die bedingte Verarbeitung von Regelsätzen in einer Policy-Datei. Bei der Installation wird die Beispiel-Text-Policydatei /etc/tripwire/tw.pol verwendet, um die aktive Tripwire-Policydatei zu generieren.

Nach Durchführen des Installations-Skripts kann der Systemadministrator die Parameter durch Bearbeiten von /etc/tripwire/twcfg.txt ändern und anhand des twadmin Befehls eine unterzeichnete Kopie der tw.cfg Datei neu erzeugen. Weitere Informationen hierzu finden Sie unter Abschnitt 19.9.

/var/lib/tripwire/host_name.twd

Nach der ersten Initialisierung verwendet Tripwire die Regeln der unterzeichneten Policy-Dateien, um diese Datenbankdatei zu erstellen. Diese Datei enthält eine Übersicht über das System in einem bekannten sicheren Status. Tripwire vergleicht diese Basisdatei mit dem aktuellen System, um eventuelle Änderungen zu ermitteln. Dieser Vorgang ist die sog. Integritätsprüfung.

/var/lib/tripwire/report/host_name-date_of_report-time_of_report.twr

Bei der Integritätsprüfung erstellt Tripwire Berichtdateien im /var/lib/tripwire/report Verzeichnis. In diesen Dateien sind kurz die Änderungen dargestellt, die während der Intergriätsprüfung nicht den Regeln der Policy-Dateien entsprechen. Tripwire-Berichte werden unter Beachtung folgender Konventionen benannt: host_name-date_of_report-time_of_report.twr. Diese Berichte führen die Unterschiede zwischen der Tripwire-Datenbank und Ihren aktuellen System-Dateien im Einzelnen auf.