Eu instalei o tripwire seguindoesta documentação on-lineem um novo servidor Ubuntu 22.x. Segui exatamente a documentação acima e não adicionei nenhum mod personalizado aos arquivos cfg ou pol.
Recebi as seguintes exceções logo em seguida, que me parecem ser rotações básicas de log:
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
Minha pergunta é: qual é a maneira correta de configurar/política tripwire para que as rotações de log não acionem exceções de relatório. A rotação de log é uma função básica que vem como padrão na maioria das distribuições Linux e não parece ser algo que o tripwire, destinado a detectar alterações não autorizadas em componentes-chave (por exemplo, rootkits), deva relatar como exceções de nível de severidade 100.
Responder1
No seu arquivo de configuração de política tripwire (debian ou ubuntu: /etc/tripwire/twpol.txt) sob a 'rulename = "System boot changes",'
alteração
/var/log -> $(SEC_CONFIG) ;
para
/var/log -> $(IgnoreAll) ;
irá efetivamente ignorar todas as alterações nos arquivos de log. [Referência: man twpolicy]
O nome do arquivo de log ainda deve existir, mas quaisquer alterações no conteúdo serão ignoradas. As trocas normais de nomes de rotação do arquivo de log serão ignoradas assim que forem estabelecidas.
Mas qualquer arquivo de log ou NOMES de diretório novo ou excluído será relatado. No seu exemplo acima, as Addedentradas ainda serão relatadas, mas Modifiedserão ignoradas.
Como consideração de segurança, espero que você também esteja fazendo syslogging em um servidor remoto. Um intruso pode truncar esses arquivos de log locais para um tamanho zero e o tripwire irá ignorá-lo alegremente.
Além disso: não se esqueça de fazer um sudo tripwire -m p -Z low /etc/tripwire/twpol.txt(ou equivalente) depois de fazer as alterações no arquivo txt para torná-lo ativo.