Я установил растяжку следующим образомэта онлайн-документацияна свежем сервере ubuntu 22.x. Я точно следовал приведенной выше документации и не добавлял никаких пользовательских модов ни в файлы cfg, ни в файлы pol.
Вскоре после этого я получил следующие исключения, которые, как мне кажется, являются простыми ротациями журналов:
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
Мой вопрос в том, как правильно настроить / политику tripwire, чтобы ротации журналов не вызывали исключения отчетов. Ротация журналов — это базовая функция, которая входит в стандартную комплектацию большинства дистрибутивов Linux и, похоже, не является тем, что tripwire, предназначенный для обнаружения несанкционированных изменений ключевых компонентов (например, руткитов), должен сообщать как исключения уровня серьезности 100.
решение1
В файле конфигурации политики tripwire (debian или ubuntu: /etc/tripwire/twpol.txt) под 'rulename = "System boot changes",'
изменяющимся
/var/log -> $(SEC_CONFIG) ;
к
/var/log -> $(IgnoreAll) ;
фактически проигнорирует все изменения в файлах журнала. [ Ссылка: man twpolicy]
Имя файла журнала должно существовать, но любые изменения содержимого будут игнорироваться. Обычные ротационные замены имен файлов журнала будут игнорироваться после их установки.
Но любые новые или удаленные файлы журнала или ИМЕНА каталогов будут сообщены. В вашем примере выше записи Addedвсе равно будут сообщены, но Modifiedзаписи будут проигнорированы.
В целях безопасности я надеюсь, что вы также ведете системный журнал на удаленном сервере. Злоумышленник может обрезать эти локальные файлы журналов до нулевого размера, и tripwire с радостью проигнорирует это.
Также: не забудьте сделать sudo tripwire -m p -Z low /etc/tripwire/twpol.txt(или эквивалентную операцию) после внесения изменений в текстовый файл, чтобы сделать его активным.