Tripwireデータベースに記録されているファイル自体を変更したり、報告される違反の程度を変更するには、ポリシーファイルを編集する必要があります。
まず、サンプルポリシーファイル(/etc/tripwire/twpol.txt)に必要な変更を加えます。 ポリシーファイルへのよくある変更内容としては、使用しているシステム上に存在しないファイルをコメントアウトし、file not foundエラーがレポートに作成されないようにすることです。 たとえば、使用しているシステムに/etc/smb.confファイルがない場合は、twpol.txtファイルで該当する行をコメントアウトし、Tripwireでそのファイルが検索されないようにします。
# /etc/smb.conf -> $(SEC_CONFIG) ; |
次に、新規の署名済み/etc/tripwire/tw.polファイルを作成して、このポリシー情報に基づいてデータベースファイルを更新します。 編集したポリシーファイルが/etc/tripwire/twpol.txtとすると、次のようにコマンドを入力します。
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt |
サイトパスフレーズの入力を求められます。パスフレーズを入力すると、twpol.txtファイルが解析されて署名されます。
新しい/etc/tripwire/tw.polファイルを作成したら、必ずTripwireデータベースを更新します。 もっとも確実な方法は、現在のデータベースを削除して、新しいポリシーファイルを使用して新たにデータベースを作成するやり方です。
使用中のTripwireデータベースの名前がwilbur.domain.com.twdとすると、このデータベースを削除するには次のコマンドを入力します。
rm /var/lib/tripwire/wilbur.domain.com.twd |
続けて、次のコマンドを入力して新しいデータベースを作成します。
/usr/sbin/tripwire --init |
新しいポリシーファイルの指示に従って、新規データベースが作成されます。 データベースが正しく変更されているかどうかを確認するには、手動で最初の保全性チェックを実行してレポートの内容を確認します。 これらの作業の手順は、the section called 保全性チェックの実行と the section called レポートの表示を参照してください。
変更を加えたテキスト形式の設定ファイル(通常は/etc/tripwire/twcfg.txt)は必ず署名して、/etc/tripwire/tw.cfgと置き換えてTripwireの保全性チェック実行時に使用されるようにする必要があります。 Tripwireは、テキスト形式の設定ファイルが正しく署名されて/etc/tripwire/tw.polファイルと置き換えられるまでは、設定内容の変更を認識しません。
変更した設定ファイル(テキスト)が/etc/tripwire/twcfg.txtとすると、これに署名して現在の/etc/tripwire/tw.polファイルと置き換えるには次のコマンドを入力します。
/usr/sbin/twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt |
設定ファイルでは、Tripwireのポリシーや追跡されるファイルは変更されないため、監視するシステムファイルのデータベースを作成しなおす必要はありません。