Tripwire e la posta elettronica

Tripwire può inviare un messaggio e-mail, qualora venga violata una specifica regola nel file di policy. Per configurare questa funzionalità di Tripwire, occorre prima l'indirizzo e-mail della persona da contattare se avviene una violazione dell'integrità e il nome della regola che volete controllare. Per i grandi sistemi con più amministratori, è possibile inviare messaggi di avvertimento a più persone in presenza di un certo tipo di infrazione oppure non inviare nessun messaggio in caso di violazioni minori.

Una volta determinato a chi inviare il messaggio e cosa notificare, aggiungete una linea emailto= alla sezione della direttiva di ogni regola. Per farlo, inserite una virgola alla fine della riga severity= e digitate emailto= all'inizio della riga seguente. Inserite poi gli indirizzi e-mail delle persone a cui inviare i report delle violazioni alla regola specificata. Se indicate più di un indirizzo e-mail, separato da punto e virgola, verranno inviate altrettante e-mail.

Se desiderate che due amministratori di sistema (per esempio, Tullio e Cesare) ricevano una notifica via e-mail nel caso in cui venga modificato il programma di networking, cambiate la direttiva della regola "Networking Programs" nel modo seguente:

(
  rulename = "Networking Programs",
  severity = $(SIG_HI),
  emailto = tullio@domain.com;cesare@domain.com
)

Dopo aver trasformato il file /etc/tripwire/twpol.txt in un nuovo file di policy firmato, agli indirizzi e-mail verranno notificate le violazioni a quella particolare regola. Per le istruzioni sulla firma del file di policy, consultate la la sezione Aggiornamento del file di policy.

Invio di messaggi e-mail di prova

Per garantire che la configurazione delle notifiche e-mail di Tripwire permetta di inviare in modo corretto le e-mail, utilizzate il seguente comando:

/usr/sbin/tripwire --test --email vostro@indirizzo.email

Il programma tripwire provvede immediatamente a inviare una e-mail di notifica all'indirizzo specificato.