Tripwire 政策建议

Question

我在 debian 服务器上设置了tripwire，默认策略有一些奇怪的设置。

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
    /dev            -> $(Device) ;
#   /proc           -> $(Device) ;
}

/proc非常不稳定，所以我已经把它注释掉了，但我想我应该把其中的一些内容明确地放在这里。我有一些想法，但我会就此事征求意见。

另一件事是/var/log：

#
# These files change every time the system boots
#
(
  rulename = "System boot changes",
  severity = $(SIG_HI)
)
{
    /var/lock               -> $(SEC_CONFIG) ;
    /var/run                -> $(SEC_CONFIG) ; # daemon PIDs
#   /var/log                -> $(SEC_CONFIG) ;
}

再次太不稳定，误报太多。我是否应该明确监视它的某些指定部分以及什么。其余的/var是$(SIG_MED)和$(SEC_INVARIANT)，这听起来也很合理/var/log。

Answer 1

您知道tripwire 开源已过时且不再受支持吗？另外，它的配置很麻烦，而且没有集中支持。

推荐的开源、集中支持和积极维护的完整性监控器是：

-OSSEC - https://ossec.github.io/

-Samhain - http://www.la-samhna.de/samhain/

-Osiris - http://osiris.shmoo.com/

我特别喜欢 OSSEC，它是最简单、最容易使用的……但都尝试一下，看看你是否喜欢。

Answer 2

我认为你的假设没有问题。

proc 中没有什么值得关注的，而且它们每次都在变化。/dev 也是一个很好的问题。我曾经有过那条线，但现在有了 udev，我就不太确定了。

你还有这条线，是吗？

/var -> $(SEC_INVARIANT) (递归 = 0) ;

我对绊线的真正问题是，它需要定期关注以保持最新状态。当我有时间时，它工作得很好，但现在不行了。

也许值得一看Samhain。它只报告一次，然后了解更改。它还有其他很棒的功能（也许我稍后会扩展它）。