Tripwireデータベースに記録されているファイルを変更したり、電子メールに設定を変更したり、報告される違反の程度を 変更するには、Tripwireポリシーファイルを編集する必要があります。
まず、サンプルポリシーファイル(/etc/tripwire/twpol.txt)に必要な変更を加えます。 このファイルを削除している場合(Tripwireの設定終了後は実行すべき操作)、次のコマンドを発行してそれを 再生成することが出来ます:
twadmin --print-polfile > /etc/tripwire/twpol.txt |
このポリシーファイルへの一般的な変更は、システム上に存在しないファイルをコメントアウトして それらがTripwireレポートでファイルが見付かりませんのエラーを 生成しないようにすることです。例えば、システムに/etc/smb.confファイルが ない場合、次の例のように#印をtwpol.txt行の 先頭に付けて、コメントアウトすることで、Tripwireがそれを捜索しないようにします:
# /etc/smb.conf -> $(SEC_CONFIG) ; |
次に、新規の署名済み/etc/tripwire/tw.polファイルを作成して、このポリシー情報に基づいてデータベースファイルを更新します。編集したポリシーファイルが/etc/tripwire/twpol.txtとすると、次のようにコマンドを入力します(すべて1行で入力します):
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
サイトパスワードの入力を求められます。入力すると、twpol.txtファイルが暗号化されて署名されます。
新しい/etc/tripwire/tw.polファイルを作成したら、必ずTripwireデータベースを更新します。もっとも確実な方法は、現在のデータベースを削除して、新しいポリシーファイルを使用して新たにデータベースを作成するやり方です。
使用中のTripwireデータベースの名前がbob.domain.com.twdとすると、 このデータベースを削除するには次のコマンドを入力します:
rm /var/lib/tripwire/bob.domain.com.twd |
続けて、次のコマンドを入力して更新したポリシーファイルを使用した 新しいデータベースを作成します:
/usr/sbin/tripwire --init |
データベースが正しく変更されているかどうかを確認するには、手動で最初の保全性チェックを実行してレポートの内容を確認します。これらの作業の手順は、項19.5と項19.6.1を参照してください。
Tripwireでは、ポリシーファイル内のある特定のタイプのルールに対する違反が発生したときに、任意の宛先に電子メールを送信できます。Tripwireにこの設定をするには、まず特定の保全性違反が発生した場合に連絡する相手の電子メールアドレスと、監視するルールを設定する必要があります。管理者が何人もいる大きなシステムでは、異なる違反に対してそれぞれ異なるグループに通知することが出来ます。
誰に何について通知するか及びどの違反ルールで彼らに報告するかが決定すると、 /etc/tripwire/twpol.txtの編集で、それぞれのルールの ルールディレクティブセクションにemailto=行を追加します。 具体的には、severity=行の後ろにコンマを追加し、次の行にemailto= を付け、その次に送信先のE-mailアドレスを入力します。複数のアドレスをセミコロンで 区切って指定すると、複数のE-mailを送信できます。
たとえば、ネットワークプログラムが変更された際に、johnrayとbobの二人の管理者に通知するには、 ポリシーファイル内のNetworking Programsルールディレクティブを次のように変更します:
( rulename = "Networking Programs", severity = $(SIG_HI), emailto = johnray@domain.com;bob@domain.com ) |
ポリシーファイルを変更してから、項19.8の指示に 従って更新と暗号化した署名済みのTripwireポリシーファイルのコピーを生成します。