Red Hat Linux 7.1: Official Red Hat Linux Reference Guide
IndietroCapitolo 10. Installazione e configurazione di TripwireAvanti

Visualizzazione dei report

Con il comando twprint -m r potete visualizzare i contenuti in chiaro di un report. È necessario specificare a twprint il file di report da visualizzare.

Ecco un esempio del comando twprint (digitate tutto su una riga): 

/usr/sbin/twprint -m r --twrfile
          /var/lib/tripwire/report/<nome>.twr

L'opzione -m r indica a twprint di decodificare un report di Tripwire. L'opzione --twrfile indica a twprint di utilizzare un file di report specifico.

Il nome del report che desiderate visualizzare comprende il nome dell'host usato da Tripwire per generare il report, la data e l'ora di creazione. Potete visualizzare i report salvati in passato quando volete. Digitate semplicemente ls /var/lib/tripwire/report per visualizzare una lista dei report di Tripwire.

I report di Tripwire possono essere piuttosto lunghi, a seconda del numero di violazioni individuate o di errori generati. Ecco un esempio di record: 

Tripwire(R) 2.3.0 Integrity Check Report

Report generated by:          root
Report created on:            Fri Jan 12 04:04:42 2001
Database last updated on:     Tue Jan  9 16:19:34 2001

=======================================================================
Report Summary:
=======================================================================
Host name:                    some.host.com
Host IP address:              10.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/some.host.com.twd
Command line used:            /usr/sbin/tripwire --check 

=======================================================================
Rule Summary: 
=======================================================================
-----------------------------------------------------------------------
Section: Unix File System
-----------------------------------------------------------------------
  Rule Name                Severity Level    Added    Removed  Modified
  ---------                --------------    -----    -------  -------- 
  Invariant Directories    69                0        0        0        
  Temporary directories    33                0        0        0        
* Tripwire Data Files      100               1        0        0        
  Critical devices         100               0        0        0        
  User binaries            69                0        0        0        
  Tripwire Binaries        100               0        0        0

Uso di twprint per visualizzare il database di Tripwire

Potete usare il comando twprint anche per visualizzare l'intero database o le informazioni dei file selezionati. Ciò è senz'altro utile per visualizzare quante informazioni sta controllando Tripwire sul vostro sistema.

Per visualizzare il database completo di Tripwire, digitate questo comando: 

/usr/sbin/twprint -m d --print-dbfile | less

Verranno visualizzate moltissime informazioni, le prime righe saranno simili all'esempio qui fornito: 

Tripwire(R) 2.3.0 Database

Database generated by:        root
Database generated on:        Tue Jan  9 13:56:42 2001
Database last updated on:     Tue Jan  9 16:19:34 2001

=================================================================
Database Summary: 
=================================================================
Host name:                    some.host.com
Host IP address:              10.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/some.host.com.twd
Command line used:            /usr/sbin/tripwire --init 

=================================================================
Object Summary: 
=================================================================
-----------------------------------------------------------------
# Section: Unix File System
-----------------------------------------------------------------
     Mode        UID          Size       Modify Time
     ------      ----------   ---------- ----------
 /
     drwxr-xr-x  root (0)     XXX        XXXXXXXXXXXXXXXXX
 /bin
     drwxr-xr-x  root (0)     4096       Mon Jan  8 08:20:45 2001
 /bin/arch
     -rwxr-xr-x  root (0)     2844       Tue Dec 12 05:51:35 2000
 /bin/ash
     -rwxr-xr-x  root (0)     64860      Thu Dec  7 22:35:05 2000
 /bin/ash.static
     -rwxr-xr-x  root (0)     405576     Thu Dec  7 22:35:05 2000

Per visualizzare le informazioni su un file particolare, per es.: /etc/hosts, digitate un comando twprint differente: 

/usr/sbin/twprint -m d --print-dbfile /etc/hosts

Il risultato sarà simile al seguente: 

Object name:  /etc/hosts

Property:               Value:                      
-------------           -----------                 
Object Type             Regular File                
Device Number           773                         
Inode Number            216991                      
Mode                    -rw-r--r--                  
Num Links               1                           
UID                     root (0)                    
GID                     root (0)

Per visualizzare altre opzioni, consultate la pagina man di twprint.

IndietroPartenzaAvanti
Controllo dell'integritàRisaliAggiornamento del database dopo un controllo dell'integrità