19.7. Aktualisieren der Tripwire Datenbank

Wenn Sie eine Integritätsprüfung ausführen und Tripwire Differenzen ermittelt, müssen Sie zunächst bestimmen, ob diese Differenzen tatsächlich Verletzungen der Sicherheit darstellen oder ob es sich dabei eventuell um berechtigte Änderungen handelt. Wenn Sie kürzlich eine Anwendung installiert oder kritische Systemdateien bearbeitet haben, dann weist Tripwire korrekt auf Differenzen bei der Integritätsprüfung hin. In diesem Fall sollten Sie Ihre Tripwire Datenbank aktualisieren, so dass diese Änderungen nicht mehr als Differenzen angezeigt werden. Wurden jedoch unberechtigte Änderungen an Dateien vorgenommen, die ebenfalls Differenzen generieren, dann müssen Sie die ursprüngliche Datei wiederherstellen, wozu Sie eine Sicherheitskopie benötigen, das Programm neu installieren oder im Ernstfall das Betriebssystem vollkommen neu installieren. müssen.

Um Ihre Tripwire dahingehend zu aktualisieren, dass sie gültige Policy-Differenzen akzeptiert, vergleicht Tripwire zunächst eine Berichtdatei mit der Datenbank und integriert sie daraufhin mit gültigen Differenzen aus der Berichtdatei. Achten Sie darauf, beim Aktualisieren der Datenbank den neuesten Bericht zu verwenden.

Verwenden Sie folgenden Befehl, um die Tripwire-Datenbank zu aktualisieren, wobei Name der Name der neuesten Berichtdatei ist:

/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<name>.twr

Tripwire zeigt die gewünschte Berichtdatei mithilfe des standardmäßigen Texteditors (der in der Tripwire Konfigurationsdatei in der Zeile EDITOR angegeben ist) an. An dieser Stelle können Sie Dateien deselektieren, die in der Tripwire Datenbank nicht aktualisiert werden sollen. Achten Sie dabei darauf, das nur berechtigte Differenzen in dieser Datenbank aufgenommen werden.

WichtigWichtig
 

Wichtig ist, dass Sie nur autorisierte Integritätsdifferenzen in der Datenbank ändern.

Alle der Tripwire Datenbank vorgelegten Aktualisierungen sind mit einem [x] vor dem Dateinamen gekennzeichnet, ähnlich, wie im folgenden Beispiel:

Added:
[x] "/usr/sbin/longrun"

Modified:
[x] "/usr/sbin"
[x] "/usr/sbin/cpqarrayd"

Möchten Sie ausdrücklich ausschließen, dass eine gültige Differenz der Tripwire-Datenbank aufgenommen wird, entfernen Sie das x.

Um Dateien im standardmäßigen Texteditor vi zu bearbeiten, geben Sie i ein und drücken [Enter] um den Eingabemodus einzugeben und nehmen Sie die notwendigen Änderungen vor. Wenn Sie fertig sind, drücken Sie den Schlüssel [Esc], geben Sie :wq ein und drücken Sie [Enter].

Nachdem der Editor geschlossen wurde, geben Sie Ihr lokales Passwort ein. Daraufhin wird die Datenbank neu erstellt und unterzeichnet.

Nachdem eine neue Tripwire Datenbank geschrieben wurde, erscheinen die neu autorisierten Integritätsdifferenzen nicht mehr als Warnmeldungen.