Si desea modifircar los registros de los archivos de la base de datos Tripwire, cambiar la configuración del email, o modificar la severidad con la que ciertas violaciones son reportadas, necesita modificar su archivo de políticas de Tripwire.
Primero, haga los cambios necesarios al archivo de políticas de muestra /etc/tripwire/twpol.txt. Si borró este archivo (como debería cuando haya terminado de configurar Tripwire), puede regenerarlo emitiendo el comando siguiente:
twadmin --print-polfile > /etc/tripwire/twpol.txt |
Un cambio común a este archivo de política es convertir en comentario cualquier archivo que no existe en su sistema para que no genere un mensaje de error de file not found en los informes Tripwire. Por ejemplo, si su sistema no tiene un archivo /etc/smb.conf, le puede indicar a Tripwire que no intente buscarlo a través de la conversión de su línea en comentario en twpol.txt con el caracter numeral # como se muestra en el ejemplo:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
Luego, debe generar un nuevo archivo firmado /etc/tripwire/tw.pol y generar y actualizar el archivo de base de datos basado en esta información de políticas. Asumiendo que /etc/tripwire/twpol.txt es el archivo de políticas modificado, use este comando:
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
Se le pedirá por una contraseña de sitio. Luego, el archivo twpol.txt estará encriptado y firmado.
Es importante actualizar la base de datos de Tripwire después de haber creado un archivo /etc/tripwire/tw.pol. La forma más confiable para llevarlo a cabo es borrando su base de datos Tripwire actual y creando una base de datos nueva con el archivo de política nuevo.
Si su archivo de base de datos Tripwire es llamado bob.domain.com.twd, escriba este comando:
rm /var/lib/tripwire/bob.domain.com.twd |
Luego escriba el siguiente comando para crear una nueva base de datos usando el archivo de políticas actualizado:
/usr/sbin/tripwire --init |
Para asegurarse que la base de datos haya sido modificada correctamente, ejecute manualmente el primer control de integridad y vea el contenido del informe consiguiente. Consulte Sección 19.5 y Sección 19.6.1 para más detalles sobre estas tareas.
Se puede configurar Tripwire para que envíe un email a una o más cuentas si tipo específico de políticas es violado. Para configurar Tripwire de manera que haga esto, primero hay que saber qué políticas serán supervisadas y la dirección de correo electrónico de la(s) persona(s) que recibirá el mensaje si ocurre una violación. Note que en sistemas grandes con administradores múltiples, puede avisar a diferentes conjuntos de personas dependiendo del tipo de violaciones.
Una vez que se sabe a quién avisar y sobre qué avisar, añada la línea emailto= al archivo /etc/tripwire/twpol.txt a la sección de directivas de cada regla. Haga esto agregando una coma después de la línea de severity= y colocando emailto= en la próxima línea, seguido por una o más direcciones de correo. Se puede especificar más de una dirección de correo si se separan con un punto y coma.
Si por ejemplo usted quisiera que a dos administradores, Johnray y Bob, se les avise cuando se modifique el programa de red, cambie la directiva de la regla de Programas de red en el archivo de políticas de esta manera:
( rulename = "Networking Programs", severity = $(SIG_HI), emailto = johnray@domain.com;bob@domain.com ) |
Después de modificar el archivo de políticas, siga las instrucciones en Sección 19.8 para generar un archivo de políticas de Tripwire actualizado, encriptado y firmado.
Para asegurarse que la configuración para los avisos de correo electrónico por parte de Tripwire esté funcionando correctamente, use el comando siguiente:
/usr/sbin/tripwire --test --email your@email.address |
Se enviará un mensaje de correo de prueba inmediatamente a la dirección de email por medio del programa tripwire.