Tripwireで作業する前に、アプリケーション用の重要なファイルがある 場所を知っておく必要があります。Tripwireはそのファイルを、それぞれの ファイルの役目に従ってさまざまな場所に保存します。
/usr/sbin/ディレクトリの中には、以下のようなプログラムが あります:
tripwire
twadmin
twprint
/etc/tripwire/ディレクトリ内には、次のような ファイルがあります:
twinstall.sh — Tripwireの初期化スクリプト。
twcfg.txt — Tripwire RPMによって 供給される設定ファイル。
tw.cfg — twinstall.shスクリプトに よって作成された署名済みの設定ファイル。
twpol.txt — Tripwire RPMによって 供給されるサンプルポリシーファイル。
tw.pol — twinstall.shスクリプトに よって作成される署名済のポリシーファイル。
キーファイル — twinstall.shスクリプトに よって作成されるローカルキーとサイトキーで、拡張子.key が最後に付く。
twinstall.shインストールスクリプトを実行した後、 /var/lib/tripwire/ディレクトリには以下のようなファイルが あります:
Tripwire データベース — システムファイルのデータベースで、 .twdの拡張子を持つ。
Tripwire レポート — report/ディレクトリは Tripwire レポートが保存されている場所です。
次のセクションでは、Tripwireシステムの中で、これらのファイルが持つ 役割について説明します。
前述のセクションに出てくるTripwireシステム内の役割の詳細を 以下に示します。
これは、Tripwireデータファイルの場所などシステム固有の情報が保存される 暗号化されたTripwire設定ファイルです。twinstall.shインストーラー スクリプトとtwadminコマンドは、設定ファイルのテキストバージョン、 /etc/tripwire/twcfg.txtを使用してこのファイルを生成します。
インストールスクリプトを実行した後、システム管理者はtwadminを 使用して/etc/tripwire/twcfg.txtの編集とtw.cfgの 署名済みコピーを再生成することにより、パラメータを変更することが出来ます。その方法の詳細に ついては、項19.9を御覧下さい。
アクティブなTripwireポリシーは、コメント、ルール、ディレクティブ、変数などを 含む暗号化されたファイルです。このファイルはTripwireがシステムをチェックする方法を 指示します。ポリシーファイル内のそれぞれのルールは監視されるシステムオブジェクトを 指定します。ルールはまた、オブジェクトへの変更の報告するものと無視するものを 記述します。
システムオブジェクトとは、監視したいファイルやディレクトリです。 各オブジェクトはオブジェクト名で識別されます。プロパティはTripwire ソフトウェアが監視できるオブジェクトの1つの特徴を示します。ディレクティブは ポリシーファイル内の一連のルールの条件付の処理を制御します。インストール中に サンプルテキストポリシーファイル、/etc/tripwire/twpol.txtが アクティブなTripwireポリシーファイルを生成するのに使用されます。
インストールスクリプトを実行した後、システム管理者は、twadmin コマンドを使って、/etc/tripwire/twpol.txtの編集とtw.pol ファイルの署名済みコピーを再生成することによりTripwireポリシーファイルを更新できます。 その方法に関する情報は項19.8で御覧下さい。
最初の初期化では、Tripwireは署名済みポリシーファイルのルールを使用してデータベースファイルを作成します。このTripwireデータベースファイルが、既知の安全な状態における、システムの基準スナップショットです。Tripwireは、この基準と現在のシステムを比較してどのような変更が発生したか判断します。この比較は保全性チェックと呼ばれます。
保全性チェックを実行すると、/var/lib/tripwire/reportディレクトリにレポートファイルが作成されます。レポートファイルには、保全性チェックでポリシーファイルルールに違反した、ファイルの変更がすべて記録されます。Tripwireのレポートは次の慣例を使用して名前が付けられます: host_name-date_of_report-time_of_report.twr. これらはTripwireデータベースと実際のシステムファイルとの相違の詳細を報告します。