Автоматическое обновление сервера с помощью tripwire IDS

Question

Автоматическое обновление сервера с помощью tripwire IDS

У меня есть сервер Ubuntu с установленным еженедельным автоматическим обновлением / обновлением и tripwire.

Проблема в том, что автоматическое обновление делает tripwire бесполезным, так как изменения всегда происходят на моем сервере. Поэтому у меня постоянно есть нарушения, отмеченные tripwire.

Если бы были какие-то вредоносные изменения, я бы их пропустил.

Какова лучшая практика в такой ситуации? Есть ли способ получать автоматические обновления и полезные отчеты о триплетах? Как люди обычно объединяют два?

2

ubuntu automatic-updates tripwire

Источник

Cyrus 05 янв '15 в 00:55

1 ответ

Другие вопросы по тегам ubuntu automatic-updates tripwire

HBruijn 05 янв '15 в 10:04 2015-01-05 10:04 · Answer 1 · 2015-01-05 10:04

Я не использовал tripwire целую вечность, но концептуально:

Вы можете ограничить отчет tripwire предупреждением / отчетом только о пропущенных и вновь созданных файлах в */bin/, */sbin/ а также */lib/ каталоги, а не сравнение контрольных сумм файлов в этих каталогах.

Затем вы используете диспетчер пакетов, чтобы сообщить о целостности пакетов, как описано, например, в этом вопросе, который должен определять, когда двоичные файлы были заменены или когда менеджер пакетов использовался для замены существующих пакетов ненадежными пакетами.

По общему признанию кажется, что формат RPM немного более силен в требовании подписанных пакетов, хотя эта статья объясняет, как обеспечить и проверить подписанные пакеты в Debian и Ubuntu.