Как правильно настроить Tripwire для автоматической ротации журналов?

Я установил tripwire, следуя этой онлайн-документации, на новом сервере Ubuntu 22.x. Я точно следовал приведенной выше документации и не добавлял никаких пользовательских модов ни в файлы cfg, ни в файлы pol.

Вскоре после этого я получил следующие исключения, которые, как мне кажется, представляют собой базовую ротацию журналов:

      Rule Name: System boot changes (/var/log)
Severity Level: 100

Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"

Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"

Мой вопрос заключается в том, как правильно настроить/политику tripwire, чтобы ротация журналов не вызывала исключений в отчетах. Ротация журналов — это базовая функция, которая входит в стандартную комплектацию большинства дистрибутивов Linux и, похоже, не является чем-то, что TripWire, предназначенное для обнаружения несанкционированных изменений в ключевых компонентах (например, руткитов), должно сообщать как об исключениях уровня серьезности 100.

1 ответ

В файле конфигурации политики tripwire (debian или ubuntu: /etc/tripwire/twpol.txt) в разделе'rulename = "System boot changes",'изменение

/var/log -> $(SEC_CONFIG) ;

к

/var/log -> $(IgnoreAll) ;

будет эффективно игнорировать все изменения в файлах журналов. [ Ссылка:man twpolicy]

Имя файла журнала должно по-прежнему существовать, но любые изменения содержимого будут игнорироваться. Обычная смена имен файлов журналов будет игнорироваться после их установки.

Но обо всех новых или удаленных файлах журналов или ИМЕНАХ каталогов будет сообщено. В вашем примере вышеAddedзаписи по-прежнему будут сообщаться, ноModifiedзаписи будут игнорироваться.

В целях безопасности я надеюсь, что вы также ведете системный журнал на удаленном сервере. Злоумышленник может обрезать эти локальные файлы журналов до нулевого размера, и Tripwire охотно проигнорирует это.

Также: Не забудьте сделатьsudo tripwire -m p -Z low /etc/tripwire/twpol.txt(или эквивалент) после внесения изменений в текстовый файл, чтобы сделать его активным.

Другие вопросы по тегам