●設定ファイルの編集
Tripwireのデフォルトの設定ファイルはtw.cfgで、暗号署名されたファイルです。実際の設定変更には、クリアテキストのtwcfg.txtを使います。
twcfgファイルの設定例については省略します。
クリアテキスト(twcfg.txt)による設定を行ったら、次のコマンドを実行して、このファイルを基に暗号署名したファイル(tw.cfg)を生成します。
# /usr/sbin/twadmin –create-cfgfile -c tw.cfg -S site.key /etc/tripwire/twcfg.txt
●ポリシーファイルの編集
ポリシーファイルはtw.polで、暗号署名されたファイルです。実際の設定変更には、クリアテキストのtwpol.txtを使います。
確認の対象から外したいファイルが、行の先頭に”#”をつけてコメントアウトします。
クリアテキスト(twpol.txt)による設定を行ったら、次のコマンドを実行して、このファイルを基に暗号署名したファイル(tw.pol)を生成します。
# /usr/sbin/twadmin –create-polfile -S site.key /etc/tripwire/twpol.txt
●確認のメールを送る
整合性チェックで異常があった場合には、その旨をメールで通知することができます。
メール送信はどのグループに所属するファイルに対して行うかを設定します。
例えば、”Critical configuration files”グループに含まれるファイルが変更されたときにメールを送るようにするには、次のように設定します。
▼/etc/tripwire/twpol.txt
…
(
rulename = “Critical configuration files”,
severity = $(SIG_HI),
emailto = adminuser@sensaba.net
)
…
(
rulename = “Critical configuration files”,
severity = $(SIG_HI),
emailto = adminuser@sensaba.net
)
…
次のコマンドで、テストメッセージを送信することができます。
# /usr/sbin/tripwire –test –email adminuser@sensaba.net
Sending a test message to: adminuser@sensaba.net
Sending a test message to: adminuser@sensaba.net
●セキュリティの向上
設定ファイルとポリシーファイルのクリアテキストファイルは、もし盗聴されるとどのファイルの改ざんを監視しているか知られてしまうので、削除することをお勧めします。
# rm /etc/tripwire/twcfg.txt
# rm /etc/tripwire/twpol.txt
# rm /etc/tripwire/twpol.txt