Prima di lavorare con Tripwire, dovreste conoscere la posizione dei file più importanti necessari all'applicazione. Tripwire salva i propri file in numerosi posti diversi, a seconda del loro ruolo.
All'interno della directory /usr/sbin/, troverete i seguenti programmi:
tripwire
twadmin
twprint
All'interno della directory /etc/tripwire/, troverete i seguenti file:
twinstall.sh — Lo script di installazione per Tripwire.
twcfg.txt — il file sample di configurazione fornito dall'RPM di Tripwire.
tw.cfg — Il file di configurazione firmato creato dallo script twinstall.sh.
twpol.txt — Il file sample di policy fornito dall'RPM di Tripwire.
tw.pol — Il file di policy firmato creato dallo script twinstall.sh.
File delle chiavi — la chiave per il sito e la chiave locale create dallo script twinstall.sh che termina con estensione .key.
Dopo aver eseguito lo script di installazione twinstall.sh, troverete i seguenti file nella directory /var/lib/tripwire/:
Il database di Tripwire — Il database dei file del vostro sistema e possiede una estensione file .twd.
Report di Tripwire — nella directory report/ vengono salvati i report di Tripwire.
La prossima sezione fornisce maggiori spiegazioni sui ruoli che svolgono questi file nel sistema di Tripwire.
Qui di seguito trovate una descrizione più dettagliata dei ruoli svolti dai vari file, elencati nella sezione precedente.
Questo é il file di configurazione cifrato che memorizza le informazioni specifiche del sistema, come ad esempio la posizione dei file data di Tripwire. Lo script installer twinstall.sh e il comando twadmin generano questo file usando le informazioni nella versione di testo del file di configurazione, /etc/tripwire/twcfg.txt.
Dopo aver eseguito lo script di installazione, l'amministratore del sistema puó cambiare i parametri, modificando /etc/tripwire/twcfg.txt rigenerando una copia firmata del file tw.cfg usando il comando twadmin. Consultare la Sezione 19.9 per maggiori informazioni.
Il file attivo della policy di Tripwire é un file cifrato che contiene i commenti, le regole, le direttive e le variabili. Questo file regola il modo di controllo del vostro sistema da parte di Tripwire. Ogni regola nel file policy specifica un oggetto del sistema da monitorare. Le regole specificano altresí quali cambiamenti sono da riportare e quali da ignorare.
Gli oggetti del sistema sono dei file e directory che desiderate controllare. Ogni oggetto é identificato da un nome. Una proprietá si riferisce ad una caratteristica singola di un oggetto che il software di Tripwire puó monitorare. Le direttive controllano il processo di condizione delle regole in un file policy. Durante l'installazione, l'esempio di file policy di testo, /etc/tripwire/twpol.txt, viene usato per generare il file policy attivo di Tripwire.
Dopo aver eseguito lo script di installazione, l'amministratore del sistema puó aggiornare il file policy di Tripwire, modificando /etc/tripwire/twpol.txt e rigenerando una copia firmata del file tw.pol usando il comando twadmin. Consultare la Sezione 19.8 per maggiori informazioni.
Alla prima inizializzazione, Tripwire utilizza le regole del file di policy firmato per creare questo file database. Il database di Tripwire è una sorta di "fotografia" stilizzata del sistema nel momento in cui si trova in uno stato "sicuro". Tripwire paragona le linee base che ha disposizione in relazione al sistema attuale per determinare quali modifiche sono state apportate. Questa operazione di confronto è conosciuta con il nome di controllo dell'integrità.
Quando eseguite un controllo dell'integrità, Tripwire produce dei file di report nella directory /var/lib/tripwire/report/. I file di report sintetizzano tutte le modifiche dei file che hanno violato le regole del file di policy durante il controllo. I report di Tripwire vengono nominati in base alla convenzione seguente: host_name-data_del_report-ora_del_report.twr. Questi report descrivono in dettaglio le differenze tra il database di Tripwire e i vostri file di sistema effettivi.