19.7. Actualización de la base de datos Tripwire
Si ejecuta un control de integridad y Tripwire encuentra violaciones, primero habrá que determinar si las violaciones detectadas son realmente brechas en la seguridad o el producto de modificaciones autorizadas. Si ha instalado recientemente una aplicación o ha modificado archivos de sistema esenciales, Tripwire le informará (debidamente) de violaciones a la integridad.En este caso debería actualizar su base de datos Tripwire para que esos cambios no vuelvan a aparecer en los informes como violaciones. Sin embargo, si se efectúan cambios no autorizados a archivos de sistema, generando violaciones al control de integridad, entonces debería restablecer el archivo original desde la copia de respaldo, reinstalar el programa o, si la violación es lo bastante severa, reinstalar completamente el sistema operativo.
Para actualizar su base de datos de Tripwire de modo que acepte las violaciones encontradas en un informe, debe especificar el informe que desea usar para actualizar su base de datos. Tripwire primero cruza referencias entre un archivo de informe y la base de datos y luego le incorpora las violaciones válidas desde el informe. Cuando actualice la base de datos, asegúrese de estar usando el informe más reciente.
Use el comando siguiente para actualizar la base de datos Tripwire, donde name es el nombre del archivo de informe más reciente:
/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<name>.twr |
Tripwire le mostrará el informe específico por medio del editor de textos predeterminado (especificado en el archivo de configuración Tripwire en la línea EDITOR. Esto le dá la oportunidad de quitar la selección de archivos que no desea actualizar en la base de datos Tripwire.
 | Important |
|---|---|
Es importante que permita que sólo se cambie las violaciones autorizadas en la base de datos. |
Todas las actualizaciones propuestas a la base de datos Tripwire comienzan con una [x] antes del nombre del archivo, similar al ejemplo siguiente:
Added: [x] "/usr/sbin/longrun" Modified: [x] "/usr/sbin" [x] "/usr/sbin/cpqarrayd" |
Si desea excluir específicamente que una violación válida sea añadida a la base de datos de Tripwire, quite la x de la casilla.
Para editar archivos en el editor de texto por defecto, vi, escriba
i y presione
Después de cerrar el editor, ingrese su contraseña local y la base de datos se reconstruirá y firmará.
Después de que se ha escrito la nueva base de datos Tripwire, las nuevas violaciones de integridad no volverán a aparecer como advertencias.