Es lohnt sich, den Tripwire check zu automatisieren. Mein Eintrag in der Crontab (öffnen mit „crontab -e“ in der Konsole):

crontab -e

Folgender cron eintragen am Ende der Liste eintragen:

0 03 * * * /usr/sbin/tripwire –check –quiet –no-tty-output –email-report –email-report-level 1

Damit erhalte ich immer um 03 Uhr eine eMail mit einem minimalen Auszug des checks (report level 1, bei bedarf erhöhen). Dies setzt natürlich voraus, vorher eine eMailadresse in der Konfiguration hinterlegt zu haben. Dazu muss man Hand an der  twpol.txt öffnen und pro Kategorie die eMailadresse hinterlegen. Ich gehe davon aus, die twpol.txt wurde gelöscht, da diese ja nicht offen herumliegen sollte.

Also als erstes die twpol.txt aus der aktiven tw.pol lesbar erstellen lassen mit:

  • twadmin –print-polfile > twpol.txt

Danach die twpol.txt öffnen, und die eMailadresse bei den gewollten Kategorien hinzugfügen:

Beispiel der Tripwire Binaries:

#
# Tripwire Binaries
#
(
rulename = „Tripwire Binaries“,
severity = $(SIG_HI),
emailto = my@emailaddress.com
)

Nun aus der twpol.txt eine neue verschlüsselte tw.pol generieren:

  • twadmin –create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

That’s it.

Kategorien: Linux

Schroeffu

Der Autor ist Schweizer, verheiratet, war 7 Jahre in DE und nun allesamt zurück in die CH. Als Vater von inzwischen zwei Kindern stellt sich die Frage: Wann bekommen die Kids ein eigenes Linux Laptop? ;-D

0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert