Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch
ZurückKapitel 10 Installieren und Konfigurieren von TripwireVor

Drucken der Berichte

Der Befehl twprint -m r zeigt den Inhalt eines Tripwire Berichts in Klartext an. Weisen Sie twprint an, welcher Bericht angezeigt werden soll.

Ein twprint Befehl für das Drucken von Tripwire Berichten sieht ähnlich wie folgt aus (geben Sie den Befehl auf einer einzigen Zeile ein): 

/usr/sbin/twprint -m r --twrfile
          /var/lib/tripwire/report/<Name>.twr

Die -m r Option des Befehls weist twprint einen Tripwire Bericht zu dekodieren. Die --twrfile Option weist twprint an, eine bestimmte Tripwire Berichtdatei zu verwenden.

Der Name des Tripwire Berichts, den Sie anzeigen möchten, enthält den Namen des Rechners, den Tripwire für den Bericht geprüft hat, sowie das Datum und die Uhrzeit des Berichts. Sie können zuvor gespeicherte Berichte jederzeit wieder anzeigen. Geben Sie hierzu einfach ls /var/lib/tripwire/report ein. Es erscheint eine Liste der Tripwire Berichte.

Tripwire Berichte können sehr lang sein, was allerdings von der Anzahl der ermittelten Differenzen oder Fehlern abhängt. Ein Beispielbericht startet wie folgt: 

Tripwire(R) 2.3.0 Integrity Check Report

Report generated by:          root
Report created on:            Fri Jan 12 04:04:42 2001
Database last updated on:     Tue Jan  9 16:19:34 2001

=======================================================================
Report Summary:
=======================================================================
Host name:                    some.host.com
Host IP address:              10.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/some.host.com.twd
Command line used:            /usr/sbin/tripwire --check 

=======================================================================
Rule Summary: 
=======================================================================
-----------------------------------------------------------------------
Section: Unix File System
-----------------------------------------------------------------------
  Rule Name                Severity Level    Added    Removed  Modified
  ---------                --------------    -----    -------  -------- 
  Invariant Directories    69                0        0        0        
  Temporary directories    33                0        0        0        
* Tripwire Data Files      100               1        0        0        
  Critical devices         100               0        0        0        
  User binaries            69                0        0        0        
  Tripwire Binaries        100               0        0        0

Verwenden von twprint zur Anzeige der Tripwire Datenbank

Sie können auch twprint verwenden, um die gesamte Datenbank oder Informationen über bestimmte Dateien der Tripwire Datenbank anzuzeigen. Dieser Befehl ist besonders nützlich, wenn Sie kontrollieren möchten, wie viele Informationen Tripwire über Ihr System speichert.

Geben Sie den folgenden Befehl ein, um die gesamte Tripwire Datenbank anzuzeigen: 

/usr/sbin/twprint -m d --print-dbfile | less

Dieser Befehl ruft eine große Menge Informationen ab, wobei die beiden ersten Zeilen etwa wie folgt aussehen: 

Tripwire(R) 2.3.0 Database

Database generated by:        root
Database generated on:        Tue Jan  9 13:56:42 2001
Database last updated on:     Tue Jan  9 16:19:34 2001

=================================================================
Database Summary: 
=================================================================
Host name:                    some.host.com
Host IP address:              10.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/some.host.com.twd
Command line used:            /usr/sbin/tripwire --init 

=================================================================
Object Summary: 
=================================================================
-----------------------------------------------------------------
# Section: Unix File System
-----------------------------------------------------------------
     Mode        UID          Size       Modify Time
     ------      ----------   ---------- ----------
 /
     drwxr-xr-x  root (0)     XXX        XXXXXXXXXXXXXXXXX
 /bin
     drwxr-xr-x  root (0)     4096       Mon Jan  8 08:20:45 2001
 /bin/arch
     -rwxr-xr-x  root (0)     2844       Tue Dec 12 05:51:35 2000
 /bin/ash
     -rwxr-xr-x  root (0)     64860      Thu Dec  7 22:35:05 2000
 /bin/ash.static
     -rwxr-xr-x  root (0)     405576     Thu Dec  7 22:35:05 2000

Um die Informationen über eine bestimmte Datei anzuzeigen, die Tripwire überprüft (beispielsweise /etc/hosts), geben Sie dagegen den folgenden twprint Befehl ein: 

/usr/sbin/twprint -m d --print-dbfile /etc/hosts

Es erscheint in etwa Folgendes: 

Object name:  /etc/hosts

Property:               Value:                      
-------------           -----------                 
Object Type             Regular File                
Device Number           773                         
Inode Number            216991                      
Mode                    -rw-r--r--                  
Num Links               1                           
UID                     root (0)                    
GID                     root (0)

In den twprint man-Seiten finden Sie weitere Optionen.

ZurückAnfangVor
Ausführen einer IntegritätsprüfungHochAktualisieren der Datenbank nach einer Integritätsprüfung