19.7. Aggiornamento del database

Se eseguite un controllo dell'integrità e Tripwire riscontra delle violazioni, determinate innanzitutto se tali violazioni sono davvero delle "falle" nella sicurezza oppure modifiche autorizzate. Se di recente avete installato un'applicazione o modificato dei file di sistema importanti, Tripwire segnalerà in modo corretto tutte le violazioni dell'integrità. In questo caso dovrete aggiornare il vostro database, in modo tale che le modifiche apportate non vengano più segnalate come violazioni. Se tuttavia vengono effettuate modifiche a file di sistema che provocano violazioni dell'integrità, ripristinate i file originali con una copia di backup, reinstallate il programma o, in caso di "falle" molto gravi, reinstallare l'intero sistema operativo.

Per aggiornare il proprio database in modo che accetti violazioni di policy intenzionali, Tripwire crea innanzitutto un file report a riferimenti incrociati per il database e poi integra al suo interno le violazioni "valide" estrapolate dal file report. Nell'aggiornare il database, assicuratevi di usare il report più recente.

Per aggiornare il database, digitate il comando seguente, sostituendo nome con il nome del file report più recente:

/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<name>.twr

Tripwire visualizza il file report utilizzando l'editor di testo predefinito (specificato nel file di configurazione Tripwire sulla linea EDITOR). A questo punto, potete deselezionare i file che non desiderate aggiornare nel database di Tripwire.

	Importante
	È importante modificare solo le violazioni dell'integrità autorizzate.

Tutti gli aggiornamenti proposti per il database di Tripwire hanno una [x] che precede il nome del file, simile all'esempio che segue:

Added:
[x] "/usr/sbin/longrun"

Modified:
[x] "/usr/sbin"
[x] "/usr/sbin/cpqarrayd"

Se volete escludere una violazione valida dal database di Tripwire, rimuovete la x.

Per modificare i file nell'editor di testo predefinito (vi), digitate i e premete [Invio] per accedere alla modalità di inserimento e apportare le modifiche necessarie. Quando avrete terminato, premete [Esc], digitate :wq e premete [Invio]

Dopo aver chiuso l'editor, inserite la vostra password locale e il database verrà ricostruito e firmato.

Dopo aver scritto un nuovo database di Tripwire, le violazioni autorizzate non verranno più segnalate al controllo dell'integrità successivo.