Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
---|---|---|
Anterior | Capítulo 10. Instalación y configuración de Tripwire | Siguiente |
Si en realidad desea modificar los ficheros que Tripwire escribe en su base de datos o modificar la severidad con la cual se informan las violaciones, necesita modificar su fichero de política Tripwire.
Primero haga todos los cambios necesarios en el fichero de política de muestra (/etc/tripwire/twpol.txt). Un cambio común a este fichero de política es convertir en comentario cualquier fichero que no existe en su sistema para que no genere un mensaje de error de file not found en los informes de Tripwire. Si por ejemplo su sistema no contiene un fichero /etc/smb.conf, puede decirle a Tripwire que no intente buscarlo a través de la conversión de su línea en comentario en twpol.txt:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Luego debe decirle a Tripwire que genere un fichero nuevo /etc/tripwire/tw.pol firmado y después que genere un fichero de base de datos actualizado basado en esta información de política. Suponiendo que /etc/tripwire/twpol.txt es el fichero de política modificado, use este comando:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Se le pedirá la frase de contraseña de sitio. Luego el fichero twpol.txt se analizará sintácticamente y se firmará.
Es importante actualizar la base de datos de Tripwire después de haber creado un fichero /etc/tripwire/tw.pol nuevo. La forma más confiable para llevarlo a cabo es borrando su base de datos de Tripwire actual y creando una base de datos nueva con el fichero de política nuevo.
Si su fichero de base de datos de Tripwire se llama wilbur.domain.com.twd, teclee este comando:
rm /var/lib/tripwire/wilbur.domain.com.twd |
Luego teclee el comando para crear una base de datos nueva:
/usr/sbin/tripwire --init |
Se creará una base de datos nueva según las instrucciones en el fichero de política nuevo. Para asegurarse que la base de datos haya sido modificada correctamente, ejecute manualmente el primer control de integridad y vea el contenido del informe consiguiente. Consulte la la sección de nombre Ejecución de un control de integridad y la la sección de nombre Impresión de informes para obtener instrucciones específicas sobre estas cuestiones.
El fichero de texto con los cambios al fichero de configuración (comúnmente /etc/tripwire/twcfg.txt) debe firmarse para que reemplace /etc/tripwire/tw.cfg y para que Tripwire lo utilice al ejecutar su control de integridad. Tripwire no reconocerá los cambios en la configuración hasta que el fichero de texto de la configuración esté correctamente firmado y sea usado para reemplazar el fichero /etc/tripwire/tw.pol.
Si su fichero de texto de configuración modificado es /etc/tripwire/twcfg.txt, teclee este comando para firmarlo, reemplazando el actual fichero /etc/tripwire/tw.pol:
/usr/sbin/twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt |
Como el fichero de configuración no altera ninguna de las políticas de Tripwire ni ninguno de los ficheros supervisados por la aplicación, no es necesario regenerar la base de datos de los ficheros de sistema supervisados.