Après avoir installé le RPM de Tripwire, vous devez suivre les étapes suivantes pour initialiser le logiciel:
Bien que vous ne soyez pas obligé de modifier cet exemple de fichier de configuration Tripwire, cela peut s'avérer nécessaire dans votre situation. Par exemple, il est possible que vous vouliez modifier l'emplacement de fichiers Tripwire, personnaliser des paramètres d'email, ou personnaliser le niveau de détail des rapports.
Vous trouverez ci-dessous une liste des variables configurables par l'utilisateur nécessaires dans le fichier /etc/tripwire/twcfg.txt:
POLFILE — Précise l'emplacement du fichier de politiques; /etc/tripwire/tw.pol est la valeur défaut.
DBFILE — Précise l'emplacement du fichier de base données; /var/lib/tripwire/$(HOSTNAME).twd est la valeur par défaut.
REPORTFILE — Précise l'emplacement du des fichiers rapport. Par défaut, cette valeur est réglée sur /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.
SITEKEYFILE — Précise l'emplacement du fichier clé site; /etc/tripwire/site.key est la valeur par défaut.
LOCALKEYFILE — Précise l'emplacement du fichier clé local; /etc/tripwire/$(HOSTNAME)-local.key est la valeur par défaut.
![]() | Important |
---|---|
Si vous modifiez le fichier de configuration et laissez l'une de ces variables non définie, le fichier de configuration sera considéré comme invalide. Si cela se produit lorsque vous exécutez la commande tripwire le fichier rapportera une erreur et se fermera. |
Le reste des variables configurables dans l'exemple de fichier /etc/tripwire/twcfg.txt est optionnel. Ces variables comprennent:
EDITOR — Précise l'éditeur de texte appelé par Tripwire. La valeur par défaut est /bin/vi.
LATEPROMPTING — Si elle est réglée sur true, cette variable configure Tripwire pour attendre aussi longtemps que possible avant de demander à l'utilisateur un mot de passe, réduisant ainsi le temps pendant lequel le mot de passe est en mémoire. La valeur par défaut est false.
LOOSEDIRECTORYCHECKING — Si elle est réglée sur true, cette variable configure Tripwire pour rapporter un fichier dans le cadre de modifications d'un répertoire observé et non pas pour rapporter la modification elle-même. Cela limite les répétitions dans les rapports Tripwire. La valeur par défaut est false.
SYSLOGREPORTING — Si elle est réglée sur true, cette variable configure Tripwire pour rapporter des informations au démon système via l'option "utilisateur". Le niveau d'inscription est réglé sur notice. Consultez la page manuel syslogd pour obtenir davantage d'informations. La valeur par défaut est false.
MAILNOVIOLATIONS — Si elle est réglée sur true, cette variable configure Tripwire pour envoyer un email de rapport à intervalles réguliers sans tenir compte des violations éventuellement survenues. La valeur par défaut est true.
EMAILREPORTLEVEL — Précise le niveau de détail des rapports par email. Les valeurs valides pour cette variable vont de 0 à 4. La valeur par défaut est 3.
REPORTLEVEL — Précise le niveau de détail des rapports générés par la commande twprint. Cette valeur peut être modifiée sur la ligne de commande, mais elle est réglée su 3 par défaut.
MAILMETHOD — Précise le protocole d'email que Tripwire devrait utiliser. Les valeurs acceptables sont SMTP et SENDMAIL. La valeur par défaut est SENDMAIL.
MAILPROGRAM — Précise le programme d'email que Tripwire devrait utiliser. La valeur par défaut est /usr/sbin/sendmail -oi -t.
Après avoir modifié l'exemple de fichier de configuration, vous devrez configurer l'exemple de fichier politiques.
![]() | Avertissement |
---|---|
Pour des raisons de sécurité, vous devriez soit supprimer, soit stocker dans un endroit sûr toute le copie du fichier texte /etc/tripwire/twcfg.txt après avoir exécuté le script d'installation ou avoir recréé un fichier de configuration signé. Vous pouvez également modifier les permissions de façon à ce qu'il soit illisible par toute personne non autorisée. |
Bien que cela ne soit pas nécessaire, vous pouvez modifier ce fichier politiques Tripwire comportant de nombreux commentaires pour prendre en considération les applications, les fichiers et les répertoires spécifiques sur votre système. Se fier à la configuration non modifiée du RPM peut ne pas protéger votre système correctement.
Modifier le fichier politiques augmente également l'utilité des rapports de Tripwire en réduisant les fausses alertes pour les fichiers et programmes que vous n'utilisez pas et en ajoutant de la fonctionnalité, telle que notification par email.
![]() | Remarque |
---|---|
La notification via email n'est pas configurée par défaut. Consultez Section 19.8.1 Tripwire et Email pour en savoir plus sur cette configuration. |
Si vous modifiez l'exemple de fichier de politiques après avoir exécuté le script de configuration, veuillez lire Section 19.8 Mise à jour du fichier de politiques pour savoir comment recréer un fichier de politiques signé.
![]() | Attention |
---|---|
Pour des raisons de sécurité, vous devez soit détruire soit stocker en lieu sûr toutes les copies texte du fichier /etc/tripwire/twpol.txt après l'exécution du script d'installation ou la création d'un fichier de configuration signé. Vous pouvez également changer les permissions de façon à le rendre illisible. |
En tant qu'utilisateur root, tapez /etc/tripwire/twinstall.sh à l'invite du shell afin d'exécuter le script de configuration. Le script twinstall.sh vous demandera d'entrer votre mot de passe site et votre mot de passe local. Ces mots de passe sont utilisés pour créer des clés cryptographiques destinées à protéger les fichiers Tripwire. Le script crée alors ces fichiers puis les signe.
Lorsque vous choisissez les mots de passe site et local, vous devez respecter les indications suivantes:
Utilisez au moins huit caractères alphanumériques et symboliques, mais ne dépassez pas 1023 pour chaque mot de passe.
N'utilisez pas de citation dans les mots de passe.
Les mots de passe Tripwire doivent être complètement différents du mot de passe root ou de tout autre mot de passe du système.
Utilisez des mots de passe uniques pour la clé site et la clé locale.
Le mot de passe clé du site protège les fichiers de configuration et de politiques Tripwire. Le mot de passe clé local protège les fichiers de base de données et de rapports Tripwire.
![]() | Attention |
---|---|
Il n'existe aucun moyen de décrypter un fichier signé si vous oubliez votre mot de passe. Si vous oubliez les mots de passe, les fichiers sont inutilisables et vous devrez exécuter le script de configuration une nouvelle fois. |
En cryptant ses fichiers de configuration, politiques, base de données et rapports, Tripwire les empêche d'être visualisés par quiconque ne connaît pas le site et les mots de passe locaux. Cela signifie que, même si un intrus obtiens l'accès root à votre système, il ne pourra pas modifier les fichiers Tripwire pour masquer la trace.
Une fois cryptés et signés, les fichiers configuration et politiques créés en exécutant le script twinstall.shne doivent être ni renommés ni déplacés.