home *** CD-ROM | disk | FTP | other *** search
/ SGI Freeware 1999 August / SGI Freeware 1999 August.iso / dist / fw_tripwire.idb / usr / freeware / lib / tripwire / FAQ.z / FAQ
Encoding:
Text File  |  1999-04-16  |  4.9 KB  |  147 lines
  1. # $Id: FAQ,v 1.19 1994/08/30 06:09:48 gkim Exp $
  2.  
  3. #
  4. # FAQ for Tripwire
  5. #
  6.  
  7.     This file answers frequently asked questions about Tripwire.
  8. The first section of the file covers Tripwire concepts and design,
  9. while the second section addresses troubleshooting.
  10.  
  11. Concepts:
  12. =========
  13.  
  14. Q:    Why doesn't Tripwire ever traverse across mounted filesystems?
  15.  
  16. A:    This is a feature.  This behavior makes it possible to put a
  17.     directory (e.g., '/') in your tw.config file, and you won't
  18.     have to worry whether it will traverse all the locally-mounted
  19.     filesystems.  If you want it do the whole filesystem, list
  20.     each partion separately in the configuration file.
  21.  
  22.  
  23. Q:    What is the difference between pruning an entry in your 
  24.     tw.config file (via "!") and ignoring everything (via the "E" 
  25.     template)?
  26.  
  27. A:    Ignoring everything in a directory still monitors for added 
  28.     and deleted files.  Pruning a directory will prevent Tripwire
  29.     from even looking in the specified directory.
  30.  
  31.  
  32. Q:    Tripwire runs very slowly.  What can I do to make it run 
  33.     faster?
  34.  
  35. A:    You can modify your tw.config entries to skip the Snefru 
  36.     signatures by appending a "-2" to the ignore flags.  Or you can
  37.     tell Tripwire at run-time to skip Snefru by:
  38.         
  39.             tripwire -i 2
  40.             
  41.     This computationally expensive operation may not be needed for 
  42.     many applications.  (See README section on security vs. 
  43.     performance trade-offs for further details.)
  44.  
  45. Troubleshooting:
  46. ================
  47.  
  48. Q:    I build Tripwire and the test suite fails.  What do I do?
  49. A:    Read the README section on "Common Compilation Problems."
  50.  
  51. Q:    Tripwire reports that my database version is out of date.  What
  52.     should I do?
  53. A:    The database format used by Tripwire v1.2 changed.
  54.     You need to rebuild the database with Tripwire v1.2; see the
  55.     README file for details.
  56.  
  57.  
  58. Q:    Where do I find Larry Wall's patch program?
  59. A:    You can get it via anonymous FTP at ftp.uu.net:/pub/patch.tar.Z.
  60.  
  61.  
  62. Q:     When running Tripwire in Integrity Checking mode, Tripwire
  63.     fails when it tries to find a file with a name consisting of
  64.     dozens/hundreds/thousands of '/'s.  What went wrong?
  65.  
  66. A:    Your setting for the #define DIRENT value in your conf-<os>.h
  67.     file is probably incorrect.  Trying switching the setting and
  68.     see if the problem goes away.  (i.e., switch #define to 
  69.     #undef, or vice versa.)
  70.  
  71.  
  72. Q:    I have /tmp in my tw.config file, but none of the files in 
  73.     the directory are being read by Tripwire.  What's going on?
  74.  
  75. A:    Check to see that your /tmp directory isn't a symbolic link
  76.     to another filesystem.  When recursing down into directories,
  77.     Tripwire never traverses symbolic links or enters another
  78.     filesystem.  
  79.  
  80.  
  81. Q:    Is there any way I can get Tripwire to print out the names of the
  82.     files as they are being scanned?  I want to know which files
  83.     Tripwire is spending all of its time crunching.
  84.  
  85. A:    Try using 'tripwire -v'.  This wasn't documented in the first
  86.     tripwire.8 manual page.
  87.  
  88.  
  89. Q:    I try to initialize the database by typing 'tripwire -initialize'
  90.     but I can't find the binary.  Where is the tripwire executable?
  91.  
  92. A:    ./src/tripwire is where the binary is built.  'make install'
  93.     will install in the $(DESTDIR) of your choice, as defined
  94.     in the top-level Makefile.
  95.  
  96.  
  97. Q:    I have the following line in my tw.config file to do host specific
  98.     actions.  Why doesn't it work?
  99.  
  100.         @@ifhost chapel || chekov || chewie || data || guinan 
  101.             ....
  102.         @@endif
  103.  
  104. A:    You must put the hostnames as returned by 'hostname' or 'uname'
  105.     (depending on whether you're running a BSD or SYSV derived OS).
  106.     So, the correct form would be:
  107.  
  108.         @@ifhost chapel.enterprise.fed || chekov.enterprise.fed ...
  109.  
  110.     The Tripwire preprocessor tries its best to figure out if you
  111.     have used misformed hostnames.
  112.  
  113. Q.    As part of my operational security plan for my exported NFS
  114.     partitions, I want to run "fsirand" regularly.  Unfortunately,
  115.     if I do this, Tripwire will complain that every file has changed
  116.     (because the i-node numbers will change).  I don't want to
  117.     rebuild the entire system database each time. What can I do?
  118.  
  119. A.    We have included a Perl script in the distribution that will
  120.     go through a Tripwire db file (the output database) and update
  121.     the i-node fields while leaving everything else the same.  To
  122.     use it, you need to modify the first line to point to your Perl
  123.     interpreter (if you don't have Perl, you'll need to write your
  124.     own program in C or get Perl from an ftp site).  
  125.  
  126.     The Perl script is ./contrib/twdb_newinode.pl.
  127.  
  128.     After the next time you are in single-user mode running fsirand,
  129.     run this script with the db as input.  For example,
  130.         cd /usr/local/adm/tcheck/databases
  131.         ./twdb_newinode.pl tw.db_myhost
  132.     It will automatically create a backup version of the file for
  133.     you as a "just in case." 
  134.  
  135.     *Afterwards, be certain to set the disk with the database back
  136.     to read-only!!*  Also, store the Perl script in the same secure
  137.     place as the Tripwire program.
  138.  
  139.  
  140. Gene & Gene
  141. Kim  & Spafford
  142.  
  143. Last updated: July 17, 1994
  144. (gkim@cs.purdue.edu)
  145. (spaf@cs.purdue.edu)
  146.     
  147.