Mise à jour de la base de données après une vérification d'intégrité

Lorsque Tripwire décèle des violations du système à la suite d'une vérification d'intégrité, vous devez d'abord déterminer si ces violations sont causées par des brèches du système de sécurité ou si elles sont provoquées de façon autorisée. Si, par exemple, vous avez récemment installé une application ou modifié des fichiers système critiques, Tripwire rapporte (avec raison) ces violations lors de la vérification d'intégrité. Dans ce cas précis, vous devez mettre à jour votre base de données Tripwire de sorte que ces changements ne soient plus considérés comme des violations du système. Toutefois, si des changements non autorisés ont été apportés à des fichiers système et provoquent des violations lors de la vérification d'intégrité, vous devez alors restaurer les fichiers originaux à partir d'une copie de sauvegarde ou réinstaller le programme.

Pour mettre à jour votre base de données Tripwire, afin qu'elle accepte les violations trouvées dans un rapport, vous devez spécifier quel rapport vous désirez utiliser pour la mise à jour de la base de données. Assurez-vous toujours d'utiliser le rapport le plus récent lorsque vous donnez la commande d'intégrer ces violations valides à la base de données. Tapez la commande suivante (sur une seule ligne), où nom correspond au nom du rapport à utiliser :

/usr/sbin/tripwire --update --twrfile
          /var/lib/tripwire/report/<nom>.twr

Tripwire affiche le rapport au moyen de l'éditeur de texte par défaut (spécifié dans le fichier de configuration de Tripwire à la ligne EDITOR). C'est à ce moment que vous avez la possibilité de dessélectionner les fichiers que vous ne désirez pas inclure dans la mise à jour de la base de données Tripwire. Il est important que vous ne permettiez qu'aux violations autorisées du systèmes d'être changées dans la base de données.

Tous les fichiers proposés pour la mise à jour de la base de données Tripwire sont précédés d'un [x]. Si vous voulez exclure spécialement une violation valide afin qu'elle ne fasse pas partie de la mise à jour de la base de données Tripwire, enlevez le x. Pour accepter le changement d'un fichier précédé d'un x, écrivez le fichier dans l'éditeur de texte et quittez-le. Ce faisant, vous indiquez à Tripwire de modifier sa base de données et de ne plus rapporter les fichiers indiqués comme étant des violations du système.

Par exemple, l'éditeur de texte par défaut de Tripwire est vi. Pour écrire le fichier dans vi et apporter les changements à la base de données de Tripwire lorsque vous faites sa mise à jour à l'aide d'un rapport donné, tapez :wq dans le mode de commande de vi et appuyez sur la touche Entrée. On vous demande alors de fournir votre phrase d'accès. Ensuite, un nouveau fichier de la base de données est créé pour inclure les violations valides du système.

Une fois la nouvelle base de données Tripwire créée, les violations d'intégrité venant tout juste d'être autorisées ne seront plus indiquées lors des vérifications d'intégrité successives.