19.3. Personalizar Tripwire
Después de haber instalado el RPM Tripwire, tiene que completar los siguientes pasos para inicializar el software:
19.3.1. Modificar /etc/tripwire/twcfg.txt
Aún cuando no es requerido que edite este archivo de configuración de ejemplo de Tripwire, le recomendamos que lo haga. De hecho, quizás desee alterar la localización de los archivos Tripwire, personalizar los parámetros del e-mail o el nivel de detalles para los informes.
Abajo aparece una lista con las variables configurables de usuario requeridas en el archivo /etc/tripwire/twcfg.txt:
POLFILE — Especifica la ubicación del archivo de políticas; /etc/tripwire/tw.pol es el valor por defecto.
DBFILE — Especifica la ubicación del archivo de la base de datos; /var/lib/tripwire/$(HOSTNAME).twd es el valor por defecto.
REPORTFILE — Especifica la ubicación de los archivos de informes. Por defecto este valor está colocado a /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.
SITEKEYFILE — Especifica la ubicación del archivo de la llave del sitio; /etc/tripwire/site.key es el valor por defecto.
LOCALKEYFILE — Especifica la ubicación del archivo de la llave local; /etc/tripwire/$(HOSTNAME)-local.key es el valor por defecto.
 | Importante |
|---|---|
Si modifica el archivo de configuración y no define las variables anteriores, el archivo de configuración no será válido. Si esto ocurre, cuando ejecute el comando tripwire indicará un error y saldrá de la pantalla. |
El resto de las variables configurables en el archivo de ejemplo /etc/tripwire/twcfg.txt son opcionales. Estas incluyen lo siguiente:
EDITOR — Especifica el editor de texto llamado por Tripwire. El valor predetermindo es /bin/vi.
LATEPROMPTING — Si se coloca a verdadero, esta variable configura Tripwire para que espere tanto como sea posible antes de preguntar al usuario por una contraseña, minimizando así el tiempo que la contraseña permanece en memoria. El valor por defecto es falso.
LOOSEDIRECTORYCHECKING — Si es verdadero, esta variable configura Tripwire para que informe sobre los cambios que se han realizado en un archivo de un directorio y no sobre los cambios propios del directorio. Esto limita la redundancia en los informes de Tripwire. El valor predeterminado es falso.
SYSLOGREPORTING — Si es verdadero, esta variable configura Tripwire para informe al demonio syslog con la facilidad del "usuario". El nivel de informe está colocado a aviso. Vea la página del manula de syslogd para más información. El valor predeterminado es falso.
MAILNOVIOLATIONS — Si es verdadero, esta variable configura Tripwire para que mande un informe en forma de e-mail a intervalos regulares sin tener en cuenta si se han producido violaciones. El valor predeterminado es verdadero.
EMAILREPORTLEVEL — Especifica el nivel de detalles para los informes enviados a través de email. Los valores válidos para esta variable son 0 a 4. El valor por defecto es 3.
REPORTLEVEL — Especifica el nivel de detalles para los informes generados por el comando twprint. Este valor se puede cambiar en la línea de comandos, pero el valor predeterminado es 3.
MAILMETHOD — Especifica qué protocolo de correo debe usar Tripwire. Los valores válidos son SMTP and SENDMAIL. El valor predeterminado es SENDMAIL.
MAILPROGRAM — Especifica cúal programa de correo usará Tripwire. El valor por defecto es /usr/sbin/sendmail -oi -t.
Después de modificar el archivo de configuración de muestra, tiene que configurar el archivo de políticas de muestra.
 | Aviso |
|---|---|
Por razones de seguridad, debe de borrar o meter en un lugar seguro las copias del archivo de texto /etc/tripwire/twcfg.txt después de ejecutar el script de instalación o regenerar un archivo de configuración firmado. También, puede cambiar los permisos de manera que no se pueda leer. |
19.3.2. Modificar /etc/tripwire/twpol.txt
Aún cuando no es requerido, debe de modificar este archivo de política para darse cuenta de las aplicaciones específicas, de los archivos y de los directorios de su sistema. Si confía en una configuración de muestra RPM el sistema no estará protegido.
La modificación del archivo de política aumenta la utilidad de los informes de Tripwire minimizando los avisos falsos para los archivos y programas que no está usando y añade funcionalidad como por ejemplo las notificaciones en forma de e-mail.
 | Nota |
|---|---|
La notificación vía email no está configurada por defecto. Vea Sección 19.8.1 para más información sobre la configuración de esta característica. |
Si modifica el archivo de política después de ejecutar el script de configuración, vea Sección 19.8 para instrucciones en la generación de un archivo de políticas firmado.
| Aviso |
|---|---|
Por razones de seguridad, debe de borrar o meter en un lugar seguro las copias del archivo de texto /etc/tripwire/twpol.txt después de ejecutar el script de instalación o regenerar un archivo de configuración firmado. También puede cambiar los permisos para que no se pueda leer. |
19.3.3. Ejecutar el script twinstall.sh
Como usuario root, escriba /etc/tripwire/twinstall.sh en la línea de comandos del shell para ejecutar el script de configuración. El script twinstall.sh le pedirá sus contraseñas del sitio y local. Estas contraseñas son usadas para generar llaves criptográficas para la protección de sus archivos Tripwire. El script luego crea y firma estos archivos.
Cuando esté seleccionando las contraseñas local y de sitio, debería considerar las siguientes pautas:
Use al menos ocho caracteres alfanuméricos para cada clave única, pero no más de 1023 caracteres en total.
No use comillas en la contraseña.
Las contraseñas Tripwire deben de ser diferentes de las de root o de cualquier otra contraseña del sistema.
Use contraseñas únicas tanto para la clave del sitio como para la local.
La contraseña de la clave del sitio protege la configuración de Tripwire y los archivos de política. La contraseña de la clave local protege la base de datos de Tripwire y los archivos de informes.
| Aviso |
|---|---|
No hay forma de descifrar un archivo firmado si olvida su contraseña. Si olvida sus contraseñas, los archivos serán inutilizables y tendrá que ejecutar el script otra vez. |
Encriptando sus archivos de configuración, de política, la base de datos y los archivos de informe, Tripwire los protege de los intrusos que no conocen las contraseñas locales ni de los sitios. Esto siginifica que aunque un intruso obtenga al acceso de root al sistema, no podrá alterar los archivos Tripwire para enmascararse.
Una vez encriptados y firmados, no se puede cambiar el nombre ni mover los archivos de configuración y de políticas generados con el script twinstall.sh.