nel quale, come si può notare, è assente la segnalazione che intendeva escludere.
ATTENZIONE: anche una sola riga vuota nel file /etc/tiger/tiger.ignore disabilita tutte le possibili segnalazioni di tiger; è quindi importante evitare di farlo
Discussione
Come accennato in premessa, la sicurezza di un sistema informatico è ottenuta con un approccio multidisciplinare: è il risultato dell'applicazione di una politica di sicurezza che gli utenti sono tenuti a rispettare e su cui gli amministratori di sistema sono tenuti a vigilare. Poiché la politica di sicurezza definisce regole che si estendono ad ambiti molto diversi della conoscenza, gli strumenti a disposizione dell'amministratore di sistema sono necessariamente eterogenei, ciascuno orientato a specifici campi di applicazione.
tiger è, quindi, solo uno di questi strumenti ed espleta il proprio compito verificando il rispetto di alcune regole di configurazione basilari pur potendo estendere il proprio raggio d'azione avvalendosi di altre applicazioni (come i rilevatori di rootkit, i sistemi di cracking pro-attivo delle password oppure i sistemi di monitoraggio delle alterazioni indesiderate del filesystem).
tiger è uno strumento diagnostico e, come tale, deve essere usato con raziocinio sapendo che i risultati dei test sono da analizzare alla luce della politica di sicurezza adottata e delle eventuali altre verifiche eseguite. Ad esempio, tiger è istruito a segnalare l'eventuale mancanza della password di accesso alla configurazione del boot-loader che, di per sé, costituisce la violazione di una regola di sicurezza semplice, ma che può avere effetti importanti quando l'accesso alla console di sistema è condiviso; ciò nonostante, la politica di sicurezza del sistema potrebbe ignorare questo controllo in quanto soddisfatto da altri è più stringenti controlli. Inoltre, i singoli resoconti di tiger dovrebbero essere analizzati alla luce della documentazione esistente per il sistema informatico analizzato: nel caso di Debian, a tal fine, si può certamente far riferimento ai contenuti della URL http://www.debian.org/security/ ed, in particolare, al già citato manuale "Securing Debian" [30].
Inoltre, è bene ricordare che qualunque strumento diagnostico può segnalare "falsi positivi" (situazioni indicate come degne di interesse che in realtà non lo sono) e "falsi negativi" (situazioni che meriterebbero attenzione che però non sono né rilevate né segnalate). Per quanto attiene ai "falsi positivi", si richiama quanto precedentemente indicato: le segnalazioni devono essere analizzate ed interpretate alla luce della documentazione esistente in tema di sicurezza; ad esempio, nel caso del resoconto del caso d'uso sopra riportato, sono presenti alcune segnalazioni (come quelle di alcuni processi attivi in ascolto sulle porte di rete o la presenza di alcuni file che apparentemente non appartengono ad alcun pacchetto) che, di per sé, potrebbero essere considerati "falsi positivi", ma che in realtà richiedono un ulteriore approfondimento (ad esempio, se è segnalato attivo un processo che è stato precedentemente disabilitato manualmente potrebbe essere indicativo della presenza di codice malevolo che cerca di mettersi in comunicazione con l'esterno). Analogo discorso può essere fatto per i "falsi negativi"; l'assenza di segnalazioni non implica che necessariamente il sistema sia in assoluta sicurezza: come riportato nella pagina di manuale di tiger, il suo principale limite è che si tratta di un programma in continua evoluzione così come le situazioni a rischio che intende rilevare.