El comando /usr/sbin/twprint es usado para ver los informes encriptados y las bases de datos Tripwire.
El comando twprint -m r mostrará los contenidos de un informe Tripwire en texto plano. Sin embargo, usted deberá indicarle a twprint cual archivo de informe mostrar.
Un comando twprint para imprimir informes Tripwire se ve similar a lo siguiente:
/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/<name>.twr |
La opción -m r en el comando direcciona twprint a que descifre el informe Tripwire. La opción --twrfile le ordena a twprint a que use un informe Tripwire específico.
El nombre del informe Tripwire que desea ver incluye el nombre del host que Tripwire verificó para generar el informe, además de la fecha y hora de creación. Puede revisar cuidadosamente los informes guardados previamente en cualquier momento. Simplemente escriba ls /var/lib/tripwire/report para ver una lista de los informes Tripwire.
Los informes Tripwire pueden ser un poco largos, según la cantidad de violaciones encontradas o los errores generados. Un informe de muestra empieza así:
Tripwire(R) 2.3.0 Integrity Check Report Report generated by: root Report created on: Fri Jan 12 04:04:42 2001 Database last updated on: Tue Jan 9 16:19:34 2001 ======================================================================= Report Summary: ======================================================================= Host name: some.host.com Host IP address: 10.0.0.1 Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/some.host.com.twd Command line used: /usr/sbin/tripwire --check ======================================================================= Rule Summary: ======================================================================= ----------------------------------------------------------------------- Section: Unix File System ----------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- Invariant Directories 69 0 0 0 Temporary directories 33 0 0 0 * Tripwire Data Files 100 1 0 0 Critical devices 100 0 0 0 User binaries 69 0 0 0 Tripwire Binaries 100 0 0 0 |
También puede usar twprint para ver la base de datos completa o información sobre determinados archivos en la base de datos Tripwire. Esto es útil para ver la cantidad de información que Tripwire está supervisando en su sistema.
Para ver la base de datos completa Tripwire, escriba este comando:
/usr/sbin/twprint -m d --print-dbfile | less |
Este comando generará una gran cantidad de salida, con las primeras líneas parecidas a lo siguiente:
Tripwire(R) 2.3.0 Database
Database generated by: root
Database generated on: Tue Jan 9 13:56:42 2001
Database last updated on: Tue Jan 9 16:19:34 2001
=================================================================
Database Summary:
=================================================================
Host name: some.host.com
Host IP address: 10.0.0.1
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/some.host.com.twd
Command line used: /usr/sbin/tripwire --init
=================================================================
Object Summary:
=================================================================
-----------------------------------------------------------------
# Section: Unix File System
-----------------------------------------------------------------
Mode UID Size Modify Time
------ ---------- ---------- ----------
/
drwxr-xr-x root (0) XXX XXXXXXXXXXXXXXXXX
/bin
drwxr-xr-x root (0) 4096 Mon Jan 8 08:20:45 2001
/bin/arch
-rwxr-xr-x root (0) 2844 Tue Dec 12 05:51:35 2000
/bin/ash
-rwxr-xr-x root (0) 64860 Thu Dec 7 22:35:05 2000
/bin/ash.static
-rwxr-xr-x root (0) 405576 Thu Dec 7 22:35:05 2000 |
Para ver información sobre un determinado archivo que Tripwire está supervisando, como /etc/hosts, use el comando siguiente:
/usr/sbin/twprint -m d --print-dbfile /etc/hosts |
El resultado será similar a esto:
Object name: /etc/hosts Property: Value: ------------- ----------- Object Type Regular File Device Number 773 Inode Number 216991 Mode -rw-r--r-- Num Links 1 UID root (0) GID root (0) |
Consulte la página del manual de twprint para ver otras opciones.