Antes de trabajar con Tripwire, tiene que saber dónde están los archivos importantes para la aplicación. Tripwire almacena sus archivos en una variedad de lugares dependiendo de la función que tengan.
En el directorio /usr/sbin/, encontrará los siguientes programas:
tripwire
twadmin
twprint
Dentro del directorio /etc/tripwire/, encontrará los siguientes archivos:
twinstall.sh — El script de inicialización de Tripwire.
twcfg.txt — El archivo de configuración de muestra suministrado por el RPM de Tripwire.
tw.cfg — El archivo de configuración firmado creado por el script twinstall.sh.
twpol.txt — El archivo de políticas de muestra suministrado por el RPM de Tripwire.
tw.pol — El archivo de políticas firmado creado por el script twinstall.sh.
Archivos de claves — Las claves locales y del sitio creada por el script twinstall.sh que termina con la extensión .key.
Después de ejecutar el script de instalación twinstall.sh, encontrará los siguientes archivos en el directorio /var/lib/tripwire/:
La base de datos Tripwire — La base de datos de sus archivos de sistema y que tiene una extensión .twd.
Informes Tripwire — El directorio report/ es donde se guardan los informes Tripwire.
La siguiente sección explica las funciones que estos archivos desempeñan en el sistema Tripwire.
A continuación se describe con más detalles las funciones mencionadas anteriormente.
Es el archivo de configuración encriptado de Tripwire que que almacena información específica del sistema, tal como la ubicación de los archivos de datos. El script instalador twinstall.sh y el comando twadmin generan este archivo usando la información en la versión de texto del archivo de configuración /etc/tripwire/twcfg.txt.
Después de ejecutar el script de instalación, el administrador del sistema puede cambiar los parámetros editando el archivo /etc/tripwire/twcfg.txt y regenerando una copia firmada del archivo tw.cfg usando el comando twadmin. Vea Sección 19.9 para más información sobre cómo hacer esto.
El archivo activo de políticas Tripwire es un archivo encriptado que contiene comentarios, reglas, directivas y variables. Este archivo indica la forma en que Tripwire verificará su sistema. Cada regla en el archivo de políticas especifica un objeto de sistema a ser monitoreado. Las reglas también describen qué cambios al objeto se deben informar y cúales ignorar.
Los objetos del sistema son los archivos y directorios que desea controlar. Cada objeto se identifica con un nombre de objeto. Una propiedad se refiere a una sola característica de un objeto que el software Tripwire puede controlar. Las directivas controlan procesamiento condicional de grupos de reglas en un archivo de políticas. Durante la instalación, el archivo de políticas de muestra, /etc/tripwire/twpol.txt, es usado para generar el archivo de políticas activo de Tripwire.
Después de ejecutar el script de instalación, el administrador del sistema puede actualizar el archivo de políticas Tripwire modificando /etc/tripwire/twpol.txt y regenerando una copia firmada del archivo tw.pol usando el comando twadmin. Vea Sección 19.8 para más información sobre cómo realizar esto.
Cuando inicializa por primera vez Tripwire, éste usa las reglas del archivo de políticas firmado para crear este archivo de base de datos. La base de datos de Tripwire es la instantánea del sistema en un estado seguro conocido. Tripwire la compara con el sistema actual para determinar qué cambios se han producido. Esta comparación es conocida como verificación de integridad.
Cuando ejecuta una verificación de integridad, Tripwire produce archivos de informe en el directorio /var/lib/tripwire/report/. Los archivos de informes resúmen los cambios realizados en los archivos que violaban las reglas de los archivos de políticas durante la verificación de integridad. Los informes Tripwire son llamados usando la siguiente convención: host_name-date_of_report-time_of_report.twr. Estos informes detallan las diferencias entre la base de datos Tripwire y los archivos de sistema actuales.