Come si può notare, ad esempio, nella configurazione di default le verifiche relative ai moduli check_known, check_rootkit, check_logfiles, check_runprocs, check_rootdir, check_root sono eseguite tutti i giorni del mese e della settimana alle ore 0, 8 e 16. Inoltre, quando eseguito attraverso lo scheduler, tiger è configurato di default per notificare le anomalie riscontrate tramite posta elettronica all'indirizzo dell'amministratore di sistema (Tiger_Mail_RCPT="root").
ATTENZIONE: È utile ricordare che il mail transfer agent exim dirotta, per motivi di sicurezza, i messaggi di posta elettronica indirizzati all'amministratore del sistema locale (l'utente root) ad un'altra utenza che è specificata in /etc/aliases (consultare /usr/share/doc/exim4/README.Debian.gz per maggiori dettagli).
Modalità di utilizzo
tiger è generalmente utilizzabile immediatamente dopo l'installazione. Al termine di essa, infatti, lo scheduler di sistema (attraverso il file /etc/cron.d/tiger) è istruito dagli script di installazione ad eseguire automaticamente lo shell script /usr/sbin/tigercron (la versione di tiger specifica per l'avvio automatico) secondo gli orari e le frequenze di avvio specificate in /etc/tiger/cronrc e prelevando la configurazione sulle tipologie di verifiche dal file /etc/tiger/cronrc. Quando avviato secondo tale modalità, tiger distribuisce il carico computazionale delle diverse tipologie di controlli nel tempo, avviandone generalmente uno per volta e lasciando trascorre del tempo tra l'uno e l'altro.
Esiste, inoltre, la possibilità di utilizzare manualmente tiger, cioé di avviare, quando ritenuto necessario, il programma (lo shell script /usr/sbin/tiger) che, in tal caso, esegue in sequenza i moduli di controllo indicati come attivi nel file di configurazione /etc/tiger/tigerrc. Questa tipologia di utilizzo prevede che il programma sia eseguito con i privilegi dell'amministratore di sistema (l'utente root).
Stante la natura modulare di tiger, infine, c'é la possibilità di avviare manualmente, essendo shell script, anche i singoli moduli di controllo indipendentemente dal programma principale.
Generazione dei resoconti
Man mano che esegue i controlli tiger registra nel percorso /var/log/tiger un resoconto delle segnalazioni in "formato testo" consentendone la visione solo all'amministratore di sistema. Per ciascuna segnalazione all'interno dei resoconti segue una struttura predefinita che comprende i seguenti campi separati da uno spazio:
- la gravità della segnalazione espressa nei seguenti livelli di importanza decrescente (tratto dalla pagina di manuale di tigexp):
- --ALERT--: possibile tentativo di intrusione o un grave errore di configurazione che può esporre l'intero sistema ad attacchi;
- --FAIL--: violazione di un politica di sicurezza generica o possibile intrusione;
- --WARN--: problema di sicurezza che dovrebbe essere verificato e potrebbe essere correlato ad una possibile vulnerabilità o ad un'esposizione (la maggior parte dei messaggi di tiger appaiono in questa categoria);