19.10. Référence d'emplacement de fichier Tripwire

Avant de travailler avec Tripwire, vous devez savoir où sont situés les fichiers importants pour l'application. Tripwire stocke ses fichiers dans un grand nombre d'endroits qui dépendent de leur rôle.

La section suivante donne davantage de détails au sujet des rôles joués par ces fichiers dans le système Tripwire.

19.10.1. Composants de Tripwire

Ce qui suit décrit de façon plus détaillée les rôles - dont la liste figure dans la section précédente - joués par les fichiers dans le système Tripwire.

/etc/tripwire/tw.cfg

Il s'agit du fichier de configuration Tripwire crypté qui stocke les informations spécifiques au système, telles que l'emplacement des fichiers de données Tripwire. Le script d'installation twinstall.sh et la commande twadmin crée ce fichier en utilisant les informations de la version texte du fichier de configuration, /etc/tripwire/twcfg.txt.

Après avoir exécuté le script d'installation, l'administrateur système peut changer les paramètres en modifiant /etc/tripwire/twcfg.txt et en recréant une copie signée du fichier tw.cfg en utilisant la commande twadmin. Pour obtenir davantage d'informations sur la façon de procéder, reportez-vous à Section 19.9 Mise à jour du fichier de configuration Tripwire.

/etc/tripwire/tw.pol

Le fichier de politiques actif Tripwire est un fichier crypté contenant des commentaires, des règles, des directives et des variables. Ce fichier commande la façon dont Tripwire vérifie votre système. Chaque règle du fichier politiques spécifie un objet système à vérifier. Les règles décrivent également les changements d'objet à rapporter et ceux qui sont à ignorer.

Les objets système sont les fichiers et les répertoires que vous souhaitez contrôler. Chaque objet est identifié par un nom d'objet. Une propriété se réfère à une caractéristique unique d'un objet que le logiciel Tripwire peut contrôler. Les directives contrôlent le processus conditionnel des séries de règles d'un fichier politiques. Au cours de l'installation, l'exemple de fichier politiques texte /etc/tripwire/twpol.txt, est utilisé pour créer un fichier politiques Tripwire actif.

Après l'exécution du script d'installation, l'administrateur système peut mettre à jour le fichier politiques Tripwire en modifiant /etc/tripwire/twpol.txt et en recréant une copie signée du fichier tw.pol à l'aide de la commande twadmin. Pour obtenir davantage d'informations sur la façon de procéder, reportez-vous à Section 19.8 Mise à jour du fichier de politiques.

/var/lib/tripwire/host_name.twd

Lorsqu'il est initialisé pour la première fois, Tripwire utilise les règles du fichier de politiques signé pour créer ce fichier de la base de données. La base de données Tripwire est un instantané de référence du système à un état sûr connu. Tripwire compare ce fichier référentiel avec le système en cours pour déterminer si des changements ont eu lieu. Cette comparaison est appelée vérification d'intégrité.

/var/lib/tripwire/report/host_name-date_of_report-time_of_report.twr

Lorsque vous effectuez une vérification d'intégrité, Tripwire produit des fichiers rapport, placés dans le répertoire /var/lib/tripwire/report/. Ces fichiers rapport indiquent toutes les modifications apportées aux fichiers violant les règles du fichier de politiques lors de la vérification d'intégrité. Le nom des rapports de Tripwire est attribué en utilisant la convention suivante: host_name-date_of_report-time_of_report.twr. Ces rapports détaillent les différences entre la base données Tripwire et vos fichiers systèmes.