Si vous désirez changer les fichiers que Tripwire enregistre dans sa base de données, changer la configuration de votre courrier électronique ou modifier la sévérité avec laquelle les violations sont rapportées, vous devez modifier le fichier de politiques de Tripwire.
Premièrement, apportez tous les changements nécessaires à l'exemple de fichier de politiques, /etc/tripwire/twpol.txt. Si vous avez effacé ce fichier (comme c'est le cas lorsque vous avez terminé de configurer Tripwire), vous pouvez le recréer en exécutant la commande suivante:
twadmin --print-polfile > /etc/tripwire/twpol.txt |
L'un des changements couramment apportés à ce fichier est marquer tous les fichiers qui n'existent pas sur le système, afin qu'ils ne n'engendre pas un message d'erreur du type file not found dans les rapports de tripwire. Si, par exemple, votre système ne possède pas le fichier /etc/smb.conf, vous pouvez spécifier à Tripwire de ne pas essayer de le trouver en mettant le signe # dans sa ligne contenue dans le fichier twpol.txt, comme le montre l'exemple suivant:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Ensuite, vous devez indiquer à Tripwire de générer d'une part un nouveau fichier /etc/tripwire/tw.pol signé et d'autre part, une mise à jour du fichier de la base de données en fonction des nouvelles informations contenues dans le fichier de politiques. Si par exemple /etc/tripwire/twpol.txt était le fichier de politiques modifié, il faudrait utiliser la commande suivante:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Vous devrez alors entrer le mot de passe donnant l'accès au site. Le fichier twpol.txt sera alors crypté et signé.
Il est important que vous mettiez à jour votre base de données Tripwire après la création d'un nouveau fichier /etc/tripwire/tw.pol. La façon la plus sûre de le faire consite à éliminer votre base de données Tripwire existante et d'en créer une nouvelle au moyen du nouveau fichier de politiques.
Si votre fichier de base de données Tripwire s'appelle bob.domain.com.twd, tapez la commande suivante:
rm /var/lib/tripwire/bob.domain.com.twd |
Tapez ensuite la commande suivante pour créer une nouvelle base de données:
/usr/sbin/tripwire --init |
Pour vous assurer que la base de données a été correctement modifiée, lancez une vérification d'intégrité manuelle et visualisez le contenu du rapport qui en résulte. Consultez Section 19.5 Exécution d'une vérification d'intégrité et Section 19.6.1 Affichage des rapports de Tripwire pour de plus amples informations sur la façon de procéder pour effectuer ces tâches.
Vous pouvez configurer Tripwire pour envoyer un email à un pu plusieurs comptes si un type de fichier spécifique est violé. Pour ce faire, vous devez déterminer quelles règles de politiques doivent être contrôlées et qui doit être le destinataire du message lorsque ces règles sont violées. Notez également que sur les systèmes importants ayant plusieurs administrateurs système, vous pouvez faire en sorte que des groupes d'individus différents soient avertis selon le type de violations.
Une fois que vous savez qui avertir et quelles violations de règles doivent faire l'objet d'un rapport, modifiez le fichier /etc/tripwire/twpol.txt en ajoutant une ligne emailto= à la section de directive de règle correspondant à chaque règle concernée. Pour cela, ajoutez une virgule après la ligne severity= et indiquez emailto= sur la ligne suivante, suivie par une ou plusieurs adresses email. Plusieurs adresses email peuvent être spécifiées à condition qu'elles soient séparées par un point-virgule.
Par exemple, si vous désirez avertir deux administrateurs, Sam et Bob, lorsqu'un programme de connexion au réseau est modifié, changez la directive de la règle des programmes de connexion au réseau dans le fichier de politiques afin qu'elle ressemble à ceci: :
( rulename = "Networking Programs", severity = $(SIG_HI), emailto = johnray@domain.com;bob@domain.com ) |
Après modification du fichier de politiques, suivez les instructions contenue dans Section 19.8 Mise à jour du fichier de politiques pour créer une copie mise à jour, cryptée et signée du fichier de politiques Tripwire.