Se desiderate modificare i file di record nel database di Tripwire, cambiare la configurazione della posta oppure la "gravità" per la verifica delle violazioni, dovete modificare il file di policy Tripwire.
Innanzitutto, effettuate tutte le modifiche necessarie al file di policy d'esempio (/etc/tripwire/twpol.txt). Una modifica che di solito viene apportata è il commento a tutti i file non esistenti sul sistema. Se cancellate questo file (come dovreste fare ogni volta che avete terminato di configurare Tripwire), potete rigenerarlo mediante il comando seguente:
twadmin --print-polfile > /etc/tripwire/twpol.txt |
Una delle modifiche più comuni a questo file di policy è quella di commentare tutti i file esistenti sul sistema in modo che non generino un messaggio d'errore file not found nei report di Tripwire. Per esempio, se sul vostro sistema non è presente un file chiamato /etc/smb.conf, specificate a Tripwire di non cercarlo, commentando con il carattere # la riga nel file twpol.txt:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Egrave; poi necessario indicare a Tripwire di creare un nuovo file /etc/tripwire/tw.pol firmato e di generare un file del database aggiornato in base a queste informazioni di policy. Ponendo il caso che /etc/tripwire/twpol.txt sia il file di policy modificato, usate questo comando:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Vi verrà richiesta la password per la chiave del sito. A questo punto il file twpol.txt viene criptato e firmato.
Dopo aver creato un nuovo file /etc/tripwire/tw.pol, è importante aggiornare il database di Tripwire. Il modo più affidabile per farlo è quello di cancellare il database di Tripwire e creare un nuovo database utilizzando un nuovo file di policy.
Se il file del database di Tripwire si chiama bob.domain.com.twd, digitate questo comando:
rm /var/lib/tripwire/bob.domain.com.twd |
Digitate poi il comando per creare un nuovo database con il file di policy aggiornato:
/usr/sbin/tripwire --init |
Per assicurarvi che il database sia stato modificato in modo corretto, eseguite manualmente il primo controllo dell'integrità e visualizzate i contenuti del report risultante. Per istruzioni specifiche relative a questi task, consultate la la Sezione 19.5 e la Sezione 19.6.1.
Potete configurare Tripwire in modo che invii un messaggio e-mail a uno o più account qualora venga violata una specifica regola nel file di policy. Per farlo, occorre prima individuare le regole di policy da controllare e la da contattare se avviene tali regole vengono violate. Per i grandi sistemi con più amministratori, è possibile inviare messaggi di avvertimento a più persone in presenza di un certo tipo di infrazione.
Una volta stabilito a chi inviare il messaggio e che cosa notificare, modificate il file /etc/tripwire/twpol.txt aggiungendo una linea emailto= alla sezione della direttiva di ogni regola. Per farlo, inserite una virgola alla fine della riga severity= e digitate emailto= all'inizio della riga seguente, seguito da uno o più indirizzi e-mail. È possibile specificare più indirizzi e-mail, separandoli con un punto e virgola.
Se desiderate che due amministratori di sistema (per esempio, Tullio e Cesare) ricevano una notifica via e-mail nel caso in cui venga modificato un programma di networking, cambiate la direttiva della regola "Networking Programs" nel modo seguente:
( rulename = "Networking Programs", severity = $(SIG_HI), emailto = johnray@domain.com;bob@domain.com ) |
Dopo aver trasformato il file di policy, seguite le istruzioni fornite nellala Sezione 19.8 per generare una copia aggiornata, criptata e firmata del file di policy di Tripwire.
Per verificare che la configurazione delle notifiche e-mail sia corretta, utilizzate il seguente comando:
/usr/sbin/tripwire --test --email your@email.address |
Il programma tripwire provvede immediatamente a inviare una e-mail di notifica all'indirizzo specificato.