다음과 같이 트립와이어를 설치했습니다.이 온라인 문서새로운 우분투 22.x 서버에서. 나는 위의 문서를 정확하게 따랐으며 cfg 또는 pol 파일에 사용자 정의 모드를 추가하지 않았습니다.
그 직후에 기본 로그 회전으로 보이는 다음과 같은 예외가 발생했습니다.
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
내 질문은 로그 회전이 보고서 예외를 트리거하지 않도록 트립와이어 정책을 구성/정책하는 적절한 방법이 무엇인지입니다. 로그 회전은 대부분의 Linux 배포판에 표준으로 제공되는 기본 기능이며 주요 구성 요소(예: 루트킷)에 대한 무단 변경을 감지하기 위한 트립와이어가 심각도 수준 100 예외로 보고해야 하는 기능은 아닌 것 같습니다.
답변1
Tripwire 정책 구성 파일(debian 또는 ubuntu: /etc/tripwire/twpol.txt)에서 'rulename = "System boot changes",'
변경 사항 아래
/var/log -> $(SEC_CONFIG) ;
에게
/var/log -> $(IgnoreAll) ;
로그 파일의 모든 변경 사항을 효과적으로 무시합니다. [ 참조 : man twpolicy]
로그 파일 이름은 계속 존재해야 하지만 콘텐츠 변경 사항은 무시됩니다. 일반적인 로그 파일 순환 이름 교체는 일단 설정되면 무시됩니다.
그러나 신규 또는 삭제된 로그 파일이나 디렉터리 NAMES는 모두 보고됩니다. 위의 예에서 Added항목은 계속 보고되지만 Modified항목은 무시됩니다.
보안을 고려하여 원격 서버에도 syslogging을 하시기 바랍니다. 침입자는 이러한 로컬 로그 파일을 0크기로 자를 수 있으며 트립와이어는 이를 기꺼이 무시합니다.
sudo tripwire -m p -Z low /etc/tripwire/twpol.txt또한: txt 파일을 변경한 후 활성화하려면 (또는 이에 상응하는) 작업을 수행하는 것을 잊지 마십시오 .