ポリシーファイルの修正
インストールが終わったら、tripwire --checkを行う。Linuxの場合は結構ここでファイルがないよって言うエラーが出たのだが、FreeBSDのportsを使うと結構使えるポリシーファイルができるらしく、何もエラーが出ないかも知れない。(以前にインストールしたものを上書きしてこのアーティクルを書いているので、ひょっとしたら自分でいらない部分を削ったのかも知れない・・・)
私の場合は、インストールしてから1日たってからcheckを行ったので、以下のファイルの変更が報告された。
# tripwire --check
Modified:
"/etc"
"/etc/mail/dracd.db"
"/etc/ntp.drift"
これらのファイルは毎日更新されるので、チェックして欲しくない。そこで、ポリシーファイルを書き換えることにする。
/usr/local/etc/tripwire/twpol.txt を編集して、rulename = "/etc" の部分を探し、ルール本体の部分に以下の2行を追加する。
!/etc/mail/dracd.db ;
!/etc/ntp.drift ;
これで、上記二つのファイルの変更は報告されなくなる。
さらに、メールで変更を報告させるために、各ruleのところにmailto=の記述を追加する。
例)
{
rulename = "/etc",
severity = $(SIG_HI)
}
を以下のように変更する。
{
rulename = "/etc",
severity = $(SIG_HI),
emailto = root
}
これを、全てのルールについて記述する。
この設定ファイルは、実際には署名されたバイナリファイルが使われるので、以下のコマンドでポリシーファイルのアップデートを行う。
# tripwire --update-policy twpol.txt
Please enter your local passphrase:
Please enter your site passphrase:
と思ったらエラーが出て更新できないので、以下で逃げてしまった。(ひょっとしたら、updateしてからupdate-policyすればできるのかな?)
# twadin --create-polfile twpol.txt
# tripwire --init
追記:policyファイルの更新時には、--secure-mode lowオプションを追加する必要があった。
# tripwire --update-policy --secure-mode low twpol.txt
Please enter your local passphrase:
Please enter your site passphrase: