Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
---|---|---|
Indietro | Capitolo 10. Installazione e configurazione di Tripwire | Avanti |
Se eseguite un controllo dell'integrità e riscontrate delle violazioni, determinate innanzitutto se tali violazioni sono davvero delle "falle" nella sicurezza oppure se sono modifiche autorizzate. Se di recente avete installato un'applicazione o modificato dei file di sistema importanti, Tripwire segnalerà (in modo corretto) tutte le violazioni dell'integrità. In questo caso dovrete aggiornare il vostro database, in modo tale che le modifiche apportate non vengano più segnalate come violazioni. Se tuttavia vengono effettuate modifiche a file di sistema che provocano violazioni dell'integrità, ripristinate i file originali con una copia di backup o reinstallate il programma.
Per aggiornare il database di Tripwire, specificate il report che desiderate utilizzare per l'aggiornamento. Nell'eseguire il comando per integrare le violazioni "valide" nel database, assicuratevi di usare il report più recente. Digitate il seguente comando (tutto su una riga), sostituendo nome con il nome del report da utilizzare:
/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/<nome>.twr |
Tripwire visualizza il report utilizzando l'editor predefinito (specificato nel file di configurazione Tripwire sulla riga EDITOR). A questo punto potete deselezionare i file che non desiderate aggiornare nel database Tripwire. È importante modificare solo le violazioni dell'integrità autorizzate.
Tutti gli aggiornamenti proposti per il database di Tripwire hanno una [x] che precede il nome del file. Se non volete aggiungere una violazione valida al database di Tripwire, rimuovete la x dalle parentesi. Per accettare tutti i file con x, scrivete il file nell'editor e poi uscite dal programma. In questo modo indicate a Tripwire di modificare il database e di non segnalare questi file come violazioni.
Per esempio, l'editor di testo predefinito per Tripwire è vi. Per scrivere il file con vi ed effettuare le modifiche al database di Tripwire quando aggiornate un report specifico, digitate :wq nella modalità di comando vi e premete Invio. Vi verrà chiesto di inserire la password della chiave. A questo punto viene scritto un nuovo database che include le violazioni valide.
Dopo aver scritto un nuovo database di Tripwire, le violazioni autorizzate non vengono più segnalate al controllo dell'integrità successivo.