Es lohnt sich, den Tripwire check zu automatisieren. Mein Eintrag in der Crontab (öffnen mit „crontab -e“ in der Konsole):

crontab -e

Folgender cron eintragen am Ende der Liste eintragen:

0 03 * * * /usr/sbin/tripwire –check –quiet –no-tty-output –email-report –email-report-level 1

Damit erhalte ich immer um 03 Uhr eine eMail mit einem minimalen Auszug des checks (report level 1, bei bedarf erhöhen). Dies setzt natürlich voraus, vorher eine eMailadresse in der Konfiguration hinterlegt zu haben. Dazu muss man Hand an der  twpol.txt öffnen und pro Kategorie die eMailadresse hinterlegen. Ich gehe davon aus, die twpol.txt wurde gelöscht, da diese ja nicht offen herumliegen sollte.

Also als erstes die twpol.txt aus der aktiven tw.pol lesbar erstellen lassen mit:

  • twadmin –print-polfile > twpol.txt

Danach die twpol.txt öffnen, und die eMailadresse bei den gewollten Kategorien hinzugfügen:

Beispiel der Tripwire Binaries:

#
# Tripwire Binaries
#
(
rulename = „Tripwire Binaries“,
severity = $(SIG_HI),
emailto = my@emailaddress.com
)

Nun aus der twpol.txt eine neue verschlüsselte tw.pol generieren:

  • twadmin –create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

That’s it.

Kategorien: Linux

Schroeffu

Der Autor ist Schweizer, verheiratet, Vater von bisher einem Kind und seit November 2015 zu seiner liebevollen Frau nach Braunschweig, Deutschland, ausgewandert. Mit im Gepäck: Die Familienplanung, jede Menge Plüsch-Pinguine und die Tastatur zum bloggen.

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.