私は次のようにしてトリップワイヤーをインストールしましたこのオンラインドキュメント新しい Ubuntu 22.x サーバーで、上記のドキュメントに正確に従い、cfg ファイルにも pol ファイルにもカスタム モッドを追加しませんでした。
その後すぐに、基本的なログローテーションと思われる次の例外を受け取りました。
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
私の質問は、ログ ローテーションによってレポート例外がトリガーされないように、トリップワイヤを構成/ポリシー化する適切な方法は何ですか。ログ ローテーションは、ほとんどの Linux ディストリビューションに標準で付属する基本機能であり、主要コンポーネント (ルートキットなど) への不正な変更を検出することを目的としたトリップワイヤが重大度レベル 100 の例外として報告するものではないようです。
答え1
トリップワイヤポリシー設定ファイル(DebianまたはUbuntuの場合:/etc/tripwire/twpol.txt)の以下の 'rulename = "System boot changes",'
変更箇所で
/var/log -> $(SEC_CONFIG) ;
に
/var/log -> $(IgnoreAll) ;
ログファイルへのすべての変更を事実上無視します。[参照: man twpolicy]
ログ ファイル名は存在している必要がありますが、内容の変更は無視されます。通常のログ ファイル ローテーション名のスワップは、一度確立されると無視されます。
ただし、新しいまたは削除されたログ ファイルまたはディレクトリの名前は報告されます。上記の例では、エントリはAdded報告されますが、Modifiedエントリは無視されます。
セキュリティ上の考慮として、リモート サーバーに syslog することもお勧めします。侵入者がこれらのローカル ログ ファイルをゼロ サイズに切り捨てても、tripwire はそれを無視します。
sudo tripwire -m p -Z low /etc/tripwire/twpol.txtまた、 txt ファイルを変更してアクティブにした後は、 (または同等の) を実行することを忘れないでください。