| Red Hat Linux 7.3: Guide de référence officiel Red Hat Linux | ||
|---|---|---|
| Précédent | Chapitre 12. Installation et configuration de Tripwire | Suivant |
Lorsque Tripwire décèle des violations du système à la suite d'une vérification d'intégrité, vous devez d'abord déterminer si ces violations sont causées par des brèches du système de sécurité ou si elles sont provoquées de façon autorisée. Si, par exemple, vous avez récemment installé une application ou modifié des fichiers système critiques, Tripwire rapporte (avec raison) ces violations lors de la vérification d'intégrité. Dans ce cas précis, vous devez mettre à jour votre base de données Tripwire afin que ces changements ne soient plus considérés comme des violations du système. Toutefois, si des changements non autorisés ont été apportés à des fichiers système et provoquent des violations lors de la vérification d'intégrité, vous devez alors restaurer les fichiers originaux à partir d'une copie de sauvegarde ou réinstaller le programme.
Pour mettre à jour votre base de données Tripwire, afin qu'elle accepte les violations trouvées dans un rapport, vous devez spécifier quel rapport vous désirez utiliser pour la mise à jour de la base de données. Assurez-vous toujours d'utiliser le rapport le plus récent lorsque vous donnez la commande d'intégrer ces violations valides à la base de données. Tapez la commande suivante (sur une seule ligne), où nom correspond au nom du rapport à utiliser :
/usr/sbin/tripwire --update --twrfile
/var/lib/tripwire/report/<nom>.twr |
TTripwire affiche le rapport au moyen de l'éditeur de texte par défaut (spécifié dans le fichier de configuration de Tripwire à la ligne EDITOR line). C'est à ce moment que vous avez la possibilité de désélectionner les fichiers que vous ne désirez pas inclure dans la mise à jour de la base de données Tripwire. Il est important de ne permettre que la modification des violations autorisées du système dans la base de données.
Tous les fichiers proposés pour la mise à jour de la base de données Tripwire sont précédés d'un [x]. Si vous voulez spécifiquement exclure une violation valide afin qu'elle ne fasse pas partie de la mise à jour de la base de données Tripwire, enlevez le x. Pour accepter le changement d'un fichier précédé d'un x, écrivez le fichier dans l'éditeur de texte et quittez ce programme. Ce faisant, vous indiquez à Tripwire de modifier sa base de données et de ne plus rapporter les fichiers indiqués comme étant des violations du système.
Par exemple, l'éditeur de texte par défaut de
Tripwire est vi.
Pour écrire le fichier dans vi et apporter
les changements à la base de données de Tripwire
lorsque vous faites sa mise à jour à l'aide d'un
rapport donné, tapez :wq dans le
mode de commande de vi et appuyez
sur la touche
Une fois la nouvelle base de données Tripwire créée, les violations d'intégrité venant tout juste d'être autorisées ne seront plus indiquées lors des vérifications d'intégrité successives.
| Précédent | Sommaire | Suivant |
| Impression des rapports | Niveau supérieur | Mise à jour du fichier de politiques |