Должен ли входить tripwire в /proc?

Question

Должен ли входить tripwire в /proc?

При инициализации базы данных с помощью tripwire --init она выдавала кучу ошибок, относящихся к /proc:

### Warning: File system error.
### Filename: /proc/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: Duplicate object encountered.
### /proc/sys/net/ipv6/neigh

Это похоже на шум. twpol.txt Файл имеет следующий пункт:

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
        /dev            -> $(Device) ;
        /proc           -> $(Device) ;
}

Что, если я правильно понимаю, заставит tripwire глубоко заботиться обо всем содержимом /proc. Разве это не должно заботиться только о статических частях /proc, таких как драйверы и тому подобное, а не о per-pid? Почему это так?

8

linux ubuntu tripwire

Источник

dsadinoff 19 мар '12 в 09:31

2 ответа

Другие вопросы по тегам linux ubuntu tripwire

leiflundgren 27 дек '13 в 19:13 2013-12-27 19:13 · Answer 1 · 2013-12-27 19:13

Я нашел этот пост в LinuxQuestions.

Измените так, чтобы были рассмотрены только интересные части proc

# /proc -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;

8

Источник

leiflundgren 27 дек '13 в 19:13

LloydOliver 24 мар '12 в 01:27 2012-03-24 01:27 · Answer 2 · 2012-03-24 01:27

Если вас это сильно беспокоит, вы можете изменить свою политику, чтобы исключить папку из сканирования...

для исключения /proc вы можете добавить что-то вроде:

   !/proc

к вашей политике и восстановить базу данных.

2

Источник

LloydOliver 24 мар '12 в 01:27