La commande /usr/sbin/twprint est utilisée pour consulter les rapports et les bases de données cryptés de Tripzire .
La commande twprint -m r affichera le contenu d'un rapport Tripwire en texte en clair. Vous devez toutefois préciser à twprint quel rapport doit être affiché.
Une commande twprint pour imprimer des rapports Tripwire ressemble à l'extrait ci-dessous:
/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/<name>.twr |
L'option -m r de cette commande indique à twprint de décoder un rapport Tripwire. L'option --twrfile indique à twprint d'utiliser un fichier rapport Tripwire spécifique.
Le nom du rapport Tripwire que vous voulez visualiser contient le nom de l'hôte que Tripwire a contrôlé pour générer le rapport, ainsi que la date et l'heure de sa création. Vous pouvez à tout moment consulter des rapports enregistrés précédemment. Pour cela, vous n'avez qu'à taper ls /var/lib/tripwire/report pour faire apparaître une liste de rapports Tripwire.
Les rapports Tripwire peuvent être assez longs, selon le nombre de violations trouvées ou d'erreurs générées. Un exemple de rapport commence comme l'extrait ci-dessous:
Tripwire(R) 2.3.0 Integrity Check Report Report generated by: root Report created on: Fri Jan 12 04:04:42 2001 Database last updated on: Tue Jan 9 16:19:34 2001 ======================================================================= Report Summary: ======================================================================= Host name: some.host.com Host IP address: 10.0.0.1 Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/some.host.com.twd Command line used: /usr/sbin/tripwire --check ======================================================================= Rule Summary: ======================================================================= ----------------------------------------------------------------------- Section: Unix File System ----------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- Invariant Directories 69 0 0 0 Temporary directories 33 0 0 0 * Tripwire Data Files 100 1 0 0 Critical devices 100 0 0 0 User binaries 69 0 0 0 Tripwire Binaries 100 0 0 0 |
Vous pouvez également utiliser twprint pour visualiser la base de données complète ou certaines informations sur des fichiers de votre choix dans la base de données de Tripwire. C'est très pratique pour avoir une idée de la quantité d'informations contrôlées par Tripwire sur votre système.
Pour visualiser la base de données complète de Tripwire, entrez cette commande:
/usr/sbin/twprint -m d --print-dbfile | less |
Cette commande créera une grande quantité de données et les premières lignes que vous verrez ressembleront à l'extrait ci-dessous:
Tripwire(R) 2.3.0 Database Database generated by: root Database generated on: Tue Jan 9 13:56:42 2001 Database last updated on: Tue Jan 9 16:19:34 2001 ================================================================= Database Summary: ================================================================= Host name: some.host.com Host IP address: 10.0.0.1 Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/some.host.com.twd Command line used: /usr/sbin/tripwire --init ================================================================= Object Summary: ================================================================= ----------------------------------------------------------------- # Section: Unix File System ----------------------------------------------------------------- Mode UID Size Modify Time ------ ---------- ---------- ---------- / drwxr-xr-x root (0) XXX XXXXXXXXXXXXXXXXX /bin drwxr-xr-x root (0) 4096 Mon Jan 8 08:20:45 2001 /bin/arch -rwxr-xr-x root (0) 2844 Tue Dec 12 05:51:35 2000 /bin/ash -rwxr-xr-x root (0) 64860 Thu Dec 7 22:35:05 2000 /bin/ash.static -rwxr-xr-x root (0) 405576 Thu Dec 7 22:35:05 2000 |
Pour avoir des renseignements sur un fichier en particulier, contrôlé par Tripwire, tel que /etc/hosts, tapez la commande suivante:
/usr/sbin/twprint -m d --print-dbfile /etc/hosts |
Le résultat obtenu ressemblera à l'extrait ci-dessous:
Object name: /etc/hosts Property: Value: ------------- ----------- Object Type Regular File Device Number 773 Inode Number 216991 Mode -rw-r--r-- Num Links 1 UID root (0) GID root (0) |
See man page for twprint for more options.