Ich habe Tripwire folgendermaßen installiert:diese Online-Dokumentationauf einem neuen Ubuntu 22.x-Server. Ich habe die obige Dokumentation genau befolgt und weder den CFG- noch den Pol-Dateien benutzerdefinierte Mods hinzugefügt.
Kurz darauf erhielt ich die folgenden Ausnahmen, bei denen es sich meiner Ansicht nach um grundlegende Protokollrotationen handelt:
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
Meine Frage ist, wie Tripwire richtig konfiguriert bzw. die Richtlinien so angepasst werden können, dass Protokollrotationen keine Ausnahmen auslösen. Die Protokollrotation ist eine grundlegende Funktion, die bei den meisten Linux-Distributionen standardmäßig enthalten ist, und scheint nichts zu sein, was Tripwire, das nicht autorisierte Änderungen an Schlüsselkomponenten (z. B. Rootkits) erkennen soll, als Ausnahmen mit Schweregrad 100 melden sollte.
Antwort1
In Ihrer Tripwire-Richtlinienkonfigurationsdatei (Debian oder Ubuntu: /etc/tripwire/twpol.txt) unter dem 'rulename = "System boot changes",'
sich ändernden
/var/log -> $(SEC_CONFIG) ;
Zu
/var/log -> $(IgnoreAll) ;
werden alle Änderungen an den Protokolldateien effektiv ignoriert. [ Ref: man twpolicy]
Der Protokolldateiname muss noch vorhanden sein, aber alle Inhaltsänderungen werden ignoriert. Die normalen Namensänderungen bei der Protokolldateirotation werden ignoriert, sobald sie vorgenommen wurden.
Aber alle neuen oder gelöschten Protokolldateien oder Verzeichnisnamen werden gemeldet. In Ihrem obigen Beispiel Addedwerden die Einträge zwar weiterhin gemeldet, aber Modifiedignoriert.
Aus Sicherheitsgründen hoffe ich, dass Sie auch Syslogs auf einem Remote-Server erstellen. Ein Eindringling kann diese lokalen Protokolldateien auf die Größe Null kürzen und Tripwire wird dies munter ignorieren.
Außerdem: Vergessen Sie nicht, sudo tripwire -m p -Z low /etc/tripwire/twpol.txtnach den Änderungen an der TXT-Datei ein (oder ein gleichwertiges) auszuführen, um sie zu aktivieren.