Tripwire を運用する

1. ベースラインデータベースとの整合性のチェックは、下記のコマンドで行う。
   (# tripwire --check と同義)

   # /usr/sbin/tripwire -m c

   
   
2. 整合性チェックの結果問題無ければ、データベースのアップデートを行います。
   # tripwire -m u -c tw.cfg -p tw.pol -S site.key -L local.key -r linux.twd モード 設定ファイル ポリシーファイル サイトキー ローカルキー レポートファイル
   

   # /usr/sbin/tripwire -m u -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol \ -r /var/lib/tripwire/report/hoge-20010615-175836.twr

   
   
3. メールでレポートを送信するには、 twcfg.txtに設定し、
   # vi /etc/tripwire/twcfg.txt

   EMAILREPORTLEVEL =3 MAILMETHOD =SMTP SMTPHOST =XXX.XXX.XXX.XXX SMTPPORT =25 MAILPROGRAM =/usr/lib/sendmail -oi -t

   違反が無いときに送信させないようにするには、MAILNOVIOLATIONS=falseに設定する。
   
   
4. twadminコマンドでtw.cfgに反映させる。
   

   # /usr/sbin/twadmin -m F -c /etc/tripwire/tw.cfg \ -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

   
   
5. twpol.txtに送信先メールアドレスを設定する。
   
   セクションに設定する例
   
   

   # Tripwire Binaries ( rulename = "Tripwire Binaries", severity = $(SIG_HI), emailto=hoge@nanntyatte.com ) { }

   
   メール送信する場合は、チェック時に-M オプションを指定する

   # /usr/sbin/tripwire -m c -M

   
   
6. cronで実行するには、 例。毎日深夜2時に整合性チェックを行い結果をメールで送信する。
   

   0 2 * * * /usr/sbin/tripwire --check --email-report

   
   
7. 現在のポリシーファイルの内容を見るには、
   
   

   # /usr/sbin/twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol

   
   ポリシーをアップデートするには、

   # /usr/sbin/tripwire -m p -c /etc/tripwire/tw.cfg \ -p /etc/tripwire/tw.pol /etc/tripwire/twpol.txt

   
   

1. Tripwire をインストールする
   
2. Tripwire を運用する
   
3. Tripwire 情報源