Si vous exécuter une vérification d'intégrité et que Tripwire décèle des violations du système vous devrez d'abord déterminer si ces violations sont causées par de véritables infractions au système de sécurité ou si elles sont provoquées de façon autorisée. Si, par exemple, vous avez récemment installé une application ou modifié des fichiers système critiques, Tripwire rapporte (avec raison) ces violations lors de la vérification d'intégrité. Dans ce cas précis, vous devez mettre à jour votre base de données Tripwire afin que ces changements ne soient plus considérés comme des violations du système. Toutefois, si des changements non autorisés ont été apportés à des fichiers système et provoquent des violations lors de la vérification d'intégrité, devez alors restaurer les fichiers originaux à partir d'une copie de sauvegarde ou réinstaller le programme.
Pour mettre à jour votre base de données Tripwire, afin qu'elle accepte les violations de politiques valides, Tripwire compare d'abord un fichier de rapport avec la base de données, puis y intègre les violations valides depuis le fichier de rapport. Lorsque vous mettez à jour la base de données, assurez-vous d'utiliser le rapport le plus récent.
Utilisez la commande suivante pour mettre à jour la base de données Tripwire. Dans cette commande, name correspond au nom du fichier de rapport le plus récent:
/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<name>.twr |
Tripwire affichera le rapport au moyen de l'éditeur de texte par défaut spécifié dans le fichier de configuration de Tripwire à la ligne EDITOR. C'est à ce moment que vous avez la possibilité de dé-sélectionner les fichiers que vous ne désirez pas inclure dans la mise à jour de la base de données Tripwire.
![]() | Important |
---|---|
Il est important de ne permettre que les modification des violations autorisées du système dans la base de données. |
Toutes les mises à jour proposées de la base de données Tripwire commencent avec un [x] avant le nom du fichier, semblable à l'exemple suivant:
Added: [x] "/usr/sbin/longrun" Modified: [x] "/usr/sbin" [x] "/usr/sbin/cpqarrayd" |
Si vous voulez spécifiquement exclure une violation valide afin qu'elle ne fasse pas partie de la mise à jour de la base de données Tripwire, enlevez le x.
Pour modifier des fichiers dans l'éditeur de texte par défaut, vi,
tapez i puis appuyez sur la touche
Après la fermeture de l'éditeur, entrez votre mot de passe local et la base données sera reconstruite et signée.
Une fois la nouvelle base de données Tripwire créée, les violations d'intégrité venant tout juste d'être autorisées ne seront plus indiquées comme des avertissements.