Предложения по политике Tripwire

Question

Предложения по политике Tripwire

Я настроил tripwire на сервере Debian, и у политики по умолчанию были некоторые странные настройки.

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
    /dev            -> $(Device) ;
#   /proc           -> $(Device) ;
}

/proc Это очень изменчиво, поэтому я прокомментировал это, но я полагаю, что я должен явно поместить часть этого содержания здесь. У меня есть некоторые идеи, но я попрошу совета по этому вопросу.

Другое дело /var/log:

#
# These files change every time the system boots
#
(
  rulename = "System boot changes",
  severity = $(SIG_HI)
)
{
    /var/lock               -> $(SEC_CONFIG) ;
    /var/run                -> $(SEC_CONFIG) ; # daemon PIDs
#   /var/log                -> $(SEC_CONFIG) ;
}

Снова слишком волатильно и слишком много ложных срабатываний. Должен ли я явно контролировать некоторые указанные его части и что. Остаток /var является $(SIG_MED) а также $(SEC_INVARIANT), что звучит разумно для /var/log тоже.

6

linux security tripwire

Источник

Slartibartfast 02 июн '09 в 23:20

3 ответа

Решение

Вы знаете, что открытый исходный код tripwire устарел и больше не поддерживается? Плюс, его конфигурация - боль, и у него нет централизованной поддержки.

Рекомендуемые мониторы целостности с открытым исходным кодом, с централизованной поддержкой и активно поддерживаемые:

-OSSEC - https://ossec.github.io/

-Samhain - http://www.la-samhna.de/samhain/

-Осирис - http://osiris.shmoo.com/

Я особенно фанат OSSEC, который является самым простым и простым в использовании... Но попробуйте все и посмотрите, если вам нравится.

6

Источник

sucuri 03 июн '09 в 13:01

Проверка системных файлов по известным контрольным суммам в большинстве случаев бесполезна, так как руткит начал подделывать содержимое файла, следовательно, предоставляя правильные контрольные суммы. Подумайте о том, чтобы сосредоточиться на обнаружении и предотвращении вторжений, используя более современные инструменты, такие как SElinux.

0

Источник

Federico 26 июн '09 в 21:06

Другие вопросы по тегам linux security tripwire

cstamas 03 июн '09 в 15:24 2009-06-03 15:24 · Accepted Answer · 2009-06-03 15:24

Я думаю, что ваши предположения в порядке.

В proc нет ничего интересного, и они меняются каждый раз. / dev тоже хороший вопрос. Раньше у меня была эта строка, но теперь с udev я не уверен.

У тебя все еще есть эта линия?

/ var -> $ (SEC_INVARIANT) (recurse = 0);

Моя настоящая проблема с tripwire заключается в том, что он требует регулярного внимания, чтобы поддерживать его в актуальном состоянии. Когда у меня было время, это работало отлично, но больше не.

Может быть, стоит взглянуть на Самайна. Он сообщает только один раз, затем узнает об изменениях. У него есть другие замечательные функции (возможно, я расширю это позже).