Tripwire 具有一个名为 完整性检查模式 的功能。既然我们的数据库已经建立,我们就可以运行此功能,将当前文件系统对象与其在 Tripwire 数据库中记录的属性进行比较。所有文件违规都将打印到stdout,生成的报告文件将被保存,稍后可以通过 twprint 实用程序访问。完整性检查模式的语法是
[root@deep] /#tripwire --check
|
要运行完整性检查模式,请使用命令
[root@deep] /#tripwire --check
|
Tripwire 也可以在 交互式检查模式 下运行。在此模式下,您可以自动通过终端更新您的更改。要以交互式检查模式运行,请使用命令
[root@deep] /#tripwire --check --interactive
|
Tripwire 还有一个电子邮件选项,允许您发送电子邮件。此选项将指定将报告通过电子邮件发送给策略文件中指定的收件人。要以完整性检查模式运行并向收件人发送电子邮件,请使用命令
[root@deep] /#tripwire --check --email-report
|
在完整性检查后更新数据库 如果您已决定使用 Tripwire 的 完整性检查模式 而不是 交互式检查模式,则必须使用 数据库更新模式 功能更新 Tripwire 数据库。此更新过程允许您通过更新数据库来节省时间,而无需重新生成数据库,并且它还支持选择性更新,这无法通过重新生成完成。数据库更新模式的语法是
[root@deep] /# tripwire --update -r
|
要更新数据库,请使用命令
[root@deep] /#tripwire --update -r /usr/TSS/report/deep.openna.com-200001-021854.twr
|
其中 -r 读取指定的报告文件
deep.openna.com-200001-021854.twr。此选项是必需的,因为
REPORTFILE当前配置文件中的变量使用
$(DATE)。
: 在数据库更新模式或交互式检查模式下,Tripwire 软件会在您的终端中显示报告,每个策略违规旁边都有一个复选框。您可以通过保留每个策略违规旁边的 x 来批准对文件系统的更改,或者从复选框中删除 x,数据库将不会使用该对象的新值更新。在您退出编辑器并提供本地密码短语后,Tripwire 软件将更新并保存您的更改。
更新策略文件 有时您希望更改策略文件中的规则以反映新的文件位置或策略规则。存在一个特殊命令来完成这项工作并更新数据库,而无需完全重新初始化策略文件。这可以节省大量时间,并通过保持策略文件与其使用的数据库同步来维护安全性。策略更新模式的语法是
[root@deep] /#tripwire --update-policy /path/to/new/policy/file
|
要更新策略文件,请使用命令
[root@deep] /#tripwire --update-policy /usr/TSS/policy/newtwpol.txt
|
策略更新模式默认以 --secure-mode high 选项运行。如果文件系统自上次数据库更新以来已更改,并且更改导致新策略中出现违规,则使用此选项运行时可能会遇到错误。在确定高安全模式下报告的所有违规都是授权的之后,您可以在低安全模式下更新策略文件以解决这种情况: 要在低安全模式下更新策略文件,请使用命令
[root@deep] /#tripwire --update-policy --secure-mode low /usr/TSS/policy/newtwpol.txt
|