Ändern sich Attribute von Dateien, dann müssen die zugehörigen TSD-Einträge entsprechend aktualisiert werden. Attribute wie owner, group, mode und andere können in TSD-Einträgen geändert werden. Andere Attribute, wie z.B. hash_value, cert_tag oder signature können nicht geändert werden. Es muss dann der TSD-Eintrag entfernt und neu angelegt werden.

Bevor man aber ein Attribut eines TSD-Eintrags ändert, sollte man sicherstellen das der neue Wert des Attributs korrekt ist und nicht durch eine Änderung eines Angreifers oder eine unabsichtliche Änderung herrührt. Übernimmt man einfach geänderte Attribute ohne Überprüfung, dann macht eine Integritäts-Überwachung wenig Sinn. Da dann durch Angreifer herbeigeführte Änderungen einfach als neuer Soll-Zustand in die TSD übernommen werden.

Wir hatten als Beispie in Dateien mit sich häufig änderndem (volatile) Inhalt einen TSD-Eintrag für die volatile Datei /opt/pwrcmps/etc/config erzeugt. Die Datei hat aktuell die folgenden Zugriffsrechte:

# ls -l /opt/pwrcmps/etc/config
-rw-r--r--    1 root     system           20 Mar 22 17:53 /opt/pwrcmps/etc/config
# 

Die Konfigurations-Datei muss aber eigentlich nur vom Benutzer root und der Gruppe system lesbar sein. Die Lese-Rechte für alle anderen sind eigentlich nicht notwendig. Um die Sicherheit zu erhöhen, nehmen wir die Lese-Rechte für other weg:

# chmod o-r /opt/pwrcmps/etc/config
# 

Bei einer System-Überprüfung (Audit) werden aber nun die geänderten Berechtigungen angemahnt, schließlich steht im TSD-Eintrag das Lese-Recht für andere noch drin:

# trustchk -n /opt/pwrcmps/etc/config
trustchk: /opt/pwrcmps/etc/config: Verification of attributes failed: mode
# 

In diesem Fall geht eine Änderung des mode Attributs in Ordnung. Um die Änderung durchzuführen, kann die Option „-u“ (update) wie folgt verwendet werden:

# trustchk -u /opt/pwrcmps/etc/config mode=640
# 

Hinweis: Es können auch mehrere Attribute angegeben werden.

Damit stimmt die Berechtigung der Datei und das Attribut mode im TSD-Eintrag wieder überein.