Instalé tripwire siguiendoesta documentación en líneaen un servidor ubuntu 22.x nuevo. Seguí la documentación anterior exactamente y no agregué ninguna modificación personalizada ni a los archivos cfg ni a pol.
Poco después recibí las siguientes excepciones que me parecen rotaciones de registros básicas:
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
Mi pregunta es, ¿cuál es la forma correcta de configurar/política de tripwire para que las rotaciones de registros no desencadenen excepciones en los informes? La rotación de registros es una función básica que viene estándar con la mayoría de las distribuciones de Linux y no parece ser algo que tripwire, destinado a detectar cambios no autorizados en componentes clave (por ejemplo, rootkits), deba informar como excepciones de nivel de gravedad 100.
Respuesta1
En su archivo de configuración de política de tripwire (debian o ubuntu: /etc/tripwire/twpol.txt) bajo el 'rulename = "System boot changes",'
cambio
/var/log -> $(SEC_CONFIG) ;
a
/var/log -> $(IgnoreAll) ;
ignorará efectivamente todos los cambios en los archivos de registro. [ Ref: man twpolicy]
El nombre del archivo de registro aún debe existir, pero se ignorará cualquier cambio de contenido. Los intercambios de nombres de rotación de archivos de registro normales se ignorarán una vez que se hayan establecido.
Pero se informará sobre cualquier archivo de registro o directorio NOMBRES nuevo o eliminado. En el ejemplo anterior, las Addedentradas aún se informarán, pero Modifiedse ignorarán.
Como consideración de seguridad, espero que también esté realizando syslogging en un servidor remoto. Un intruso puede truncar estos archivos de registro locales a un tamaño cero y Tripwire lo ignorará alegremente.
Además: no olvide hacer un sudo tripwire -m p -Z low /etc/tripwire/twpol.txt(o equivalente) después de realizar cambios en el archivo de texto para activarlo.