Tripwireでは、ポリシーファイル内のある特定のタイプのルールに対する違反が発生したときに、任意の宛先に電子メールを送信できます。Tripwireにこの設定をするには、まず特定の保全性違反が発生した場合に連絡する相手の電子メールアドレスと、監視するルールの名前がわかっている必要があります。管理者が何人もいる大きなシステムでは、特定の違反に対してそれぞれ異なるグループに通知し、小さな違反に関しては誰にも通知しないようにできます。
誰に何について通知するかが決まったら、それぞれのルールのルールディレクティブセクションにemailto=行を追加します。具体的には、severity=行の後ろにカンマを追加し、次の行にemailto=と、続けてそのルールに対して違反レポートを送信するE-mailアドレスを入力します。複数のアドレスをセミコロンで区切って指定すると、複数のE-mailを送信できます。
たとえば、ネットワークプログラムが変更された際に、サムとボブの二人の管理者に通知するには、ポリシーファイル内のNetworking Programsルールディレクティブを次のように変更します。
( rulename = "Networking Programs", severity = $(SIG_HI), emailto = bob@domain.com;sam@domain.com ) |
/etc/tripwire/twpol.txtファイルから新しい署名済みファイルを作成すると、このルールへの違反が発生した際には指定した電子メールアドレスにその旨通知されます。ポリシーファイルへの署名方法はポリシーファイルの更新項を参照してください。
Tripwireの電子メール通知設定によって実際にメッセージが正しく送信されるかどうか確認するには、次のコマンドを実行します。
/usr/sbin/tripwire --test --emailyour@email.address |
指定した電子メールアドレスにただちにテストメッセージが送信されます。