Informação de Configuração
O Tripwire usa um arquivo de
política para determinar quais arquivos são verificados quanto à
integridade. O arquivo padrão da política (/etc/tripwire/twpol.txt
) é para uma instalação
padrão e precisará ser atualizado para seu sistema.
Os arquivos da política deveriam ser adaptados para cada
distribuição e(ou) instalação individual. Alguns arquivos de
exemplo da política podem ser encontrados em /usr/share/doc/tripwire/
.
Se desejado, [então] copie o arquivo da política que gostaria de
tentar para /etc/tripwire/
em vez
de usar o arquivo padrão da política, twpol.txt
. É, no entanto, recomendado que você
edite seu arquivo da política. Obtenha ideias a partir dos
exemplos acima e leia /usr/share/doc/tripwire/policyguide.txt
para
informação adicional. twpol.txt
é
um bom arquivo da política para aprender a respeito do
Tripwire, pois ele observará
quaisquer mudanças no sistema de arquivos e até mesmo pode ser
usado como uma maneira irritante de manter rastreio das mudanças
para desinstalação de software.
Depois que seu arquivo da política tiver sido editado para sua
satisfação, você poderá iniciar as etapas de configuração
(realizar como o(a) usuário(a) root
):
twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
/etc/tripwire/twpol.txt &&
tripwire --init
Dependendo do seu sistema e do conteúdo do arquivo da política, a
fase de inicialização acima pode levar um tempo relativamente
longo.
Informação de Uso
O Tripwire identificará as
mudanças de arquivo nos arquivos críticos do sistema
especificados no arquivo da política. Usar o Tripwire enquanto se faz mudanças frequentes
nesses diretórios sinalizará todas essas mudanças. É mais útil
depois que um sistema tenha atingido uma configuração que o(a)
usuário(a) considere estável.
Para usar o Tripwire depois de
criar um arquivo da política para executar um informe, use o
seguinte comando:
tripwire --check > /etc/tripwire/report.txt
Veja a saída gerada para verificar a integridade dos seus
arquivos. Um informe automático de integridade pode ser produzido
usando-se um recurso cron para agendar as execuções.
Os informes são armazenados em binário e, se desejado,
encriptados. Visualize os informes, como o(a) usuário(a)
root
, com:
twprint --print-report -r /var/lib/tripwire/report/<nome-informe.twr>
Depois de executar uma verificação de integridade, você deveria
examinar o informe (ou o correio eletrônico) e, então, modificar
a base de dados do Tripwire para
refletir os arquivos mudados em seu sistema. Isso é assim de
forma que o Tripwire não te
notificará continuamente que os arquivos que você mudou
intencionalmente sejam uma violação de segurança. Para fazer
isso, você precisa primeiro ls -l
/var/lib/tripwire/report/ e anotar o nome do
arquivo mais recente que começa com o nome do seu sistema
conforme apresentado pelo comando uname -n
e termina em
.twr
. Esses arquivos foram criados
durante a criação do informe e o mais atual é necessário para
atualizar a base de dados do Tripwire do seu sistema. Como o(a)
usuário(a) root
, digite o
seguinte comando criando o nome apropriado do informe:
tripwire --update --twrfile /var/lib/tripwire/report/<nome-informe.twr>
Você será colocado(a) no Vim com
uma cópia do informe à sua frente. Se todas as mudanças estiverem
boas, então apenas digite :wq e depois de inserir sua
chave local, a base de dados será atualizada. Se existirem
arquivos a respeito dos quais você ainda desejar ser avisado(a),
[então] remova o 'x' de antes do nome do arquivo no informe e
digite :wq.
Mudando o Arquivo da Política
Se você estiver insatisfeito(a) com seu arquivo da política e
gostaria de modificá-lo ou de usar um novo, [então] modifique o
arquivo da política e então execute os seguintes comandos como
o(a) usuário(a) root
:
twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init