TripwireとE-mail

 Tripwireでは、ポリシーファイル内のある特定のタイプのルールに対する違反が発生したときに、任意の宛先にE-mailを送信できます。 Tripwireにこの設定をするには、まず特定の保全性違反が発生した場合に連絡する相手のE-mailアドレスと、監視するルールの名前がわかっている必要があります。 管理者が何人もいる大きなシステムでは、特定の違反に対してそれぞれ異なるグループに通知し、小さな違反に関しては誰にも通知しないようにできます。

誰に何について通知するかが決まったら、それぞれのルールのルールディレクティブセクションにemailto=行を追加します。 具体的には、severity=行の後ろにカンマを追加し、次の行にemailto=と、続けてそのルールに対して違反レポートを送信するE-mailアドレスを入力します。 複数のアドレスをセミコロンで区切って指定すると、複数のE-mailを送信できます。

 たとえば、ネットワークプログラムが変更された際に、サムとボブの二人の管理者に通知するには、ポリシーファイル内のNetworking Programsルールディレクティブを次のように変更します。



(

rulename = "Networking Programs",

severity = $(SIG_HI),

emailto = bob@domain.com;sam@domain.com

)




 /etc/tripwire/twpol.txtファイルから新しい署名済みファイルを作成すると、このルールへの違反が発生した際には指定したE-mailアドレスへその旨通知されます。 ポリシーファイルへの署名方法はthe section called ポリシーファイルの更新を参照してください。

テストメッセージの送信

 TripwireのE-mail通知設定によって実際にメッセージが正しく送信されるかどうか確認するには、次のコマンドを実行します。



/usr/sbin/tripwire --test --email


your@email.address



 指定したE-mailアドレスにただちにテストメッセージが送信されます。