Es lohnt sich, den Tripwire check zu automatisieren. Mein Eintrag in der Crontab (öffnen mit „crontab -e“ in der Konsole):
crontab -e
Folgender cron eintragen am Ende der Liste eintragen:
0 03 * * * /usr/sbin/tripwire –check –quiet –no-tty-output –email-report –email-report-level 1
Damit erhalte ich immer um 03 Uhr eine eMail mit einem minimalen Auszug des checks (report level 1, bei bedarf erhöhen). Dies setzt natürlich voraus, vorher eine eMailadresse in der Konfiguration hinterlegt zu haben. Dazu muss man Hand an der twpol.txt öffnen und pro Kategorie die eMailadresse hinterlegen. Ich gehe davon aus, die twpol.txt wurde gelöscht, da diese ja nicht offen herumliegen sollte.
Also als erstes die twpol.txt aus der aktiven tw.pol lesbar erstellen lassen mit:
- twadmin –print-polfile > twpol.txt
Danach die twpol.txt öffnen, und die eMailadresse bei den gewollten Kategorien hinzugfügen:
Beispiel der Tripwire Binaries:
#
# Tripwire Binaries
#
(
rulename = „Tripwire Binaries“,
severity = $(SIG_HI),
emailto = my@emailaddress.com
)
Nun aus der twpol.txt eine neue verschlüsselte tw.pol generieren:
- twadmin –create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt
That’s it.
0 Kommentare