保全性チェックを実行して違反が見つかった場合、まず最初に、発見された違反が現実のセキュリティ侵害なのか、正当な変更によるものかを判断する必要があります。最近、アプリケーションのインストールや重要なシステムファイルの編集をした場合、Tripwireは保全性チェック違反を(正しく)報告します。この場合、Tripwireデータベースを更新して、以後それらの変更が違反として報告されないようにします。一方、システムファイルに対して不正な変更がされていて保全性チェック違反が報告された場合は、バックアップからオリジナルのファイルを復元するか、プログラムを再インストールします。
Tripwireデータベースを更新してレポート内の違反を承認するには、データベースの更新に使用するレポートを指定する必要があります。このような有効な違反をデータベースに統合するコマンドを実行する場合は、必ず最新のレポートを使用するようにします。次のコマンドを(すべて1行で)入力します。nameは使用するレポートの名前です。
/usr/sbin/tripwire --update \ --twrfile /var/lib/tripwire/report/<name>.twr |
このコマンドを実行すると、指定したレポートがデフォルトのテキストエディタ(Tripwire設定ファイルのEDITOR行に指定されているエディタ)で表示されます。ここで、Tripwireデータベースで更新したくないファイルがあれば、選択を解除できます。正当な保全性違反だけがデータベースの更新に反映されるよう注意します。
Tripwireデータベースに対して更新が予定されているファイルには、ファイル名の前にxが追加されています。ある有効な違反をTripwireデータベースに追加しないようにするには、かっこ内のxを削除します。頭にxの付いたすべてのファイルを変更として承認するには、エディタ内でファイルを書き込んでエディタを終了します。これにより、データベースを変更して以後これらのファイルを違反として報告しないよう、Tripwireに対して指示が出されます。
たとえば、デフォルトのテキストエディタがviだとします。あるレポートを使用してTripwireデータベースを更新する際に、viでファイルを書き込んでデータベースに変更を加えるには、viのコマンドラインで:wqと入力してEnterキーを押します。ローカルのパスフレーズを入力するよう求められます。次に、有効な違反を反映した新しいデータベースファイルが作成されます。
新しいTripwireデータベースが作成されると、新たに承認された保全性違反は、次に保全性チェックを実行した際には警告されません。