19.3. Personnalisation de Tripwire

Après avoir installé le RPM de Tripwire, vous devez suivre les étapes suivantes pour initialiser le logiciel:

19.3.1. Éditer /etc/tripwire/twcfg.txt

Bien que vous ne soyez pas obligé de modifier cet exemple de fichier de configuration Tripwire, cela peut s'avérer nécessaire dans votre situation. Par exemple, il est possible que vous vouliez modifier l'emplacement de fichiers Tripwire, personnaliser des paramètres d'email, ou personnaliser le niveau de détail des rapports.

Vous trouverez ci-dessous une liste des variables configurables par l'utilisateur nécessaires dans le fichier /etc/tripwire/twcfg.txt:

ImportantImportant
 

Si vous modifiez le fichier de configuration et laissez l'une de ces variables non définie, le fichier de configuration sera considéré comme invalide. Si cela se produit lorsque vous exécutez la commande tripwire le fichier rapportera une erreur et se fermera.

Le reste des variables configurables dans l'exemple de fichier /etc/tripwire/twcfg.txt est optionnel. Ces variables comprennent:

Après avoir modifié l'exemple de fichier de configuration, vous devrez configurer l'exemple de fichier politiques.

WarningAvertissement
 

Pour des raisons de sécurité, vous devriez soit supprimer, soit stocker dans un endroit sûr toute le copie du fichier texte /etc/tripwire/twcfg.txt après avoir exécuté le script d'installation ou avoir recréé un fichier de configuration signé. Vous pouvez également modifier les permissions de façon à ce qu'il soit illisible par toute personne non autorisée.

19.3.2. Éditer /etc/tripwire/twpol.txt

Bien que cela ne soit pas nécessaire, vous pouvez modifier ce fichier politiques Tripwire comportant de nombreux commentaires pour prendre en considération les applications, les fichiers et les répertoires spécifiques sur votre système. Se fier à la configuration non modifiée du RPM peut ne pas protéger votre système correctement.

Modifier le fichier politiques augmente également l'utilité des rapports de Tripwire en réduisant les fausses alertes pour les fichiers et programmes que vous n'utilisez pas et en ajoutant de la fonctionnalité, telle que notification par email.

NoteRemarque
 

La notification via email n'est pas configurée par défaut. Consultez Section 19.8.1 Tripwire et Email pour en savoir plus sur cette configuration.

Si vous modifiez l'exemple de fichier de politiques après avoir exécuté le script de configuration, veuillez lire Section 19.8 Mise à jour du fichier de politiques pour savoir comment recréer un fichier de politiques signé.

WarningAttention
 

Pour des raisons de sécurité, vous devez soit détruire soit stocker en lieu sûr toutes les copies texte du fichier /etc/tripwire/twpol.txt après l'exécution du script d'installation ou la création d'un fichier de configuration signé. Vous pouvez également changer les permissions de façon à le rendre illisible.

19.3.3. Exécution du script twinstall.sh

En tant qu'utilisateur root, tapez /etc/tripwire/twinstall.sh à l'invite du shell afin d'exécuter le script de configuration. Le script twinstall.sh vous demandera d'entrer votre mot de passe site et votre mot de passe local. Ces mots de passe sont utilisés pour créer des clés cryptographiques destinées à protéger les fichiers Tripwire. Le script crée alors ces fichiers puis les signe.

Lorsque vous choisissez les mots de passe site et local, vous devez respecter les indications suivantes:

Le mot de passe clé du site protège les fichiers de configuration et de politiques Tripwire. Le mot de passe clé local protège les fichiers de base de données et de rapports Tripwire.

WarningAttention
 

Il n'existe aucun moyen de décrypter un fichier signé si vous oubliez votre mot de passe. Si vous oubliez les mots de passe, les fichiers sont inutilisables et vous devrez exécuter le script de configuration une nouvelle fois.

En cryptant ses fichiers de configuration, politiques, base de données et rapports, Tripwire les empêche d'être visualisés par quiconque ne connaît pas le site et les mots de passe locaux. Cela signifie que, même si un intrus obtiens l'accès root à votre système, il ne pourra pas modifier les fichiers Tripwire pour masquer la trace.

Une fois cryptés et signés, les fichiers configuration et politiques créés en exécutant le script twinstall.shne doivent être ni renommés ni déplacés.