Avant de travailler avec Tripwire, vous devez savoir où sont situés les fichiers importants pour l'application. Tripwire stocke ses fichiers dans un grand nombre d'endroits qui dépendent de leur rôle.
Dans le répertoire /usr/sbin/ vous trouverez les programmes suivants:
tripwire
twadmin
twprint
Dans le répertoire /etc/tripwire/ vous trouverez les fichiers suivants:
twinstall.sh — Le script d'initialisation pour Tripwire.
twcfg.txt — L'exemple de fichier de configuration fourni par le RPM de Tripwire.
tw.cfg — Le fichier de configuration signé créé par le twinstall.sh script.
twpol.txt — L'exemple de fichier de politiques fourni par le RPM de Tripwire.
tw.pol — Le fichier de politiques signé créé par le script twinstall.sh.
Fichiers de clés — Les clés locale et site créées par le script twinstall.sh qui fini par l'extension de fichier .key.
Après exécution du script d'installation twinstall.sh, vous trouverez les fichiers suivants dans le répertoire /var/lib/tripwire/:
La base de données Tripwire — La base de données des fichiers de votre système qui a une extension de fichier .twd.
Rapports Tripwire — Le répertoire report/ est l'endroit où sont stockés les rapports Tripwire.
La section suivante donne davantage de détails au sujet des rôles joués par ces fichiers dans le système Tripwire.
Ce qui suit décrit de façon plus détaillée les rôles - dont la liste figure dans la section précédente - joués par les fichiers dans le système Tripwire.
Il s'agit du fichier de configuration Tripwire crypté qui stocke les informations spécifiques au système, telles que l'emplacement des fichiers de données Tripwire. Le script d'installation twinstall.sh et la commande twadmin crée ce fichier en utilisant les informations de la version texte du fichier de configuration, /etc/tripwire/twcfg.txt.
Après avoir exécuté le script d'installation, l'administrateur système peut changer les paramètres en modifiant /etc/tripwire/twcfg.txt et en recréant une copie signée du fichier tw.cfg en utilisant la commande twadmin. Pour obtenir davantage d'informations sur la façon de procéder, reportez-vous à Section 19.9 Mise à jour du fichier de configuration Tripwire.
Le fichier de politiques actif Tripwire est un fichier crypté contenant des commentaires, des règles, des directives et des variables. Ce fichier commande la façon dont Tripwire vérifie votre système. Chaque règle du fichier politiques spécifie un objet système à vérifier. Les règles décrivent également les changements d'objet à rapporter et ceux qui sont à ignorer.
Les objets système sont les fichiers et les répertoires que vous souhaitez contrôler. Chaque objet est identifié par un nom d'objet. Une propriété se réfère à une caractéristique unique d'un objet que le logiciel Tripwire peut contrôler. Les directives contrôlent le processus conditionnel des séries de règles d'un fichier politiques. Au cours de l'installation, l'exemple de fichier politiques texte /etc/tripwire/twpol.txt, est utilisé pour créer un fichier politiques Tripwire actif.
Après l'exécution du script d'installation, l'administrateur système peut mettre à jour le fichier politiques Tripwire en modifiant /etc/tripwire/twpol.txt et en recréant une copie signée du fichier tw.pol à l'aide de la commande twadmin. Pour obtenir davantage d'informations sur la façon de procéder, reportez-vous à Section 19.8 Mise à jour du fichier de politiques.
Lorsqu'il est initialisé pour la première fois, Tripwire utilise les règles du fichier de politiques signé pour créer ce fichier de la base de données. La base de données Tripwire est un instantané de référence du système à un état sûr connu. Tripwire compare ce fichier référentiel avec le système en cours pour déterminer si des changements ont eu lieu. Cette comparaison est appelée vérification d'intégrité.
Lorsque vous effectuez une vérification d'intégrité, Tripwire produit des fichiers rapport, placés dans le répertoire /var/lib/tripwire/report/. Ces fichiers rapport indiquent toutes les modifications apportées aux fichiers violant les règles du fichier de politiques lors de la vérification d'intégrité. Le nom des rapports de Tripwire est attribué en utilisant la convention suivante: host_name-date_of_report-time_of_report.twr. Ces rapports détaillent les différences entre la base données Tripwire et vos fichiers systèmes.