Informations sur la configuration
Tripwire utilise un fichier de
règles pour déterminer les fichiers dont l'intégrité est à
vérifier. Le fichier de règles par défaut (/etc/tripwire/twpol.txt
) vaut pour une
installation par défaut et devra être mis à jour selon votre
système.
Vous devriez adapter les fichiers de règles à chaque distribution
ou installation individuelle. Vous pouvez trouver certains
fichiers de règles d'exemples dans /usr/share/doc/tripwire/
.
Si vous le souhaitez, copiez le fichier de règles que vous
aimeriez essayer dans /etc/tripwire/
au lieu d'utiliser le fichier de
règles par défaut, twpol.txt
.
Néanmoins, on vous recommande d'éditer votre propre fichier de
règles. Inspirez-vous des exemples ci-dessus et lisez
/usr/share/doc/tripwire/policyguide.txt
pour des informations supplémentaires. twpol.txt
est un bon fichier de règles pour
apprendre Tripwire car il
remarquera n'importe quelle modification dans le système de
fichiers et il peut même être utilisé comme une façon ennuyeuse
de garder une trace des changements de désinstallation d'un
logiciel.
Après que votre fichier de règles a été éditez selon vos désirs,
vous pouvez commencer les étapes de configuration (effectuez en
tant qu'utilisateur root
) :
twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
/etc/tripwire/twpol.txt &&
tripwire --init
Selon votre système et le contenu du fichier de règles, la phase
d'initialisation ci-dessus peut prendre un temps relativement
long.
Informations d'utilisation
Tripwire identifiera les
modifications de fichiers dans les fichiers critiques du système
indiqués dans le fichier de règles. L'utilisation de Tripwire si vous modifiez souvent ces
répertoires marquera toutes ces modifications. C'est souvent
utile après que le système a atteint une configuration considérée
comme stable par l'utilisateur.
Pour utiliser Tripwire après
avoir créé un fichier de règles pour lancer un signalement,
utilisez la commande suivante :
tripwire --check > /etc/tripwire/report.txt
Observez la sortie pour vérifier l'intégrité de vos fichiers. Un
rapport automatique d'intégrité peut être obtenu en utilisant une
fonctionnalité cron pour programmer à l'avance les exécutions.
Les rapports sont stockés en binaire et, si vous le désirez,
chiffrés. Observez les rapports, en tant qu'utilisateur
root
, avec :
twprint --print-report -r /var/lib/tripwire/report/<report-name.twr>
Après avoir lancé une vérification d'intégrité, vous devriez
examiner le rapport (ou le message électronique) puis modifier la
base de données Tripwire pour
refléter les fichiers modifiés sur votre système. Ceci pour que
Tripwire ne vous notifie pas en
permanence que des fichiers que vous avez volontairement modifiés
sont une violation de sécurité. Pour faire cela, vous devez tout
d'abord faire ls -l
/var/lib/tripwire/report/ et remarquer le nom du
fichier le plus récent qui commence par le nom de votre système
tel que présenté par la commande uname -n
et qui finit par
.twr
. Ces fichiers ont été créés
pendant la création du rapport et le plus actuel est nécessaire
pour mettre à jour la base de données Tripwire de votre système. En tant
qu'utilisateur root
, entrez la
commande suivante en faisant le nom du rapport adéquat :
tripwire --update --twrfile /var/lib/tripwire/report/<report-name.twr>
Vous serez mis dans vim avec une
copie du rapport face à vous. Si tous les changements sont
corrects, tapez simplement :wq et après avoir entré votre
clé locale, la base de données sera mise à jour. S'il y a des
fichiers pour lesquels vous voulez encore être averti, supprimez
le 'x' avant le nom du fichier dans le rapport et tapez
:wq.
Modifier le fichier de règles
Si vous n'êtes pas content de votre fichier de règles et si vous
aimeriez le modifier ou en utiliser un nouveau, modifiez le
fichier de règles puis exécutez les commandes suivantes en tant
qu'utilisateur root
:
twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init