我透過以下方式安裝了 Tripwire這個線上文檔在新的 ubuntu 22.x 伺服器上。我完全遵循上述文檔,並且沒有將任何自訂 mod 添加到 cfg 或 pol 文件中。
不久後我收到了以下異常,在我看來這是基本的日誌輪替:
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
我的問題是,配置/策略 tripwire 的正確方法是什麼,以便日誌輪換不會觸發報告異常。日誌輪換是大多數 Linux 發行版的標準基本功能,似乎不是 Tripwire(旨在檢測對關鍵組件(例如 rootkit)的未經授權的更改)應該報告為嚴重級別 100 異常的功能。
答案1
在您的 tripwire 策略設定檔(debian 或 ubuntu:/etc/tripwire/twpol.txt)下 'rulename = "System boot changes",'
更改
/var/log -> $(SEC_CONFIG) ;
到
/var/log -> $(IgnoreAll) ;
將有效地忽略對日誌檔案的所有變更。 [參考:man twpolicy]
日誌檔案名稱必須仍然存在,但任何內容變更都將被忽略。正常的日誌檔案輪換名稱交換一旦建立,將被忽略。
但任何新的或刪除的日誌檔案或目錄名稱都會被報告。在上面的範例中,Added仍會報告條目,但Modified條目將被忽略。
出於安全考慮,我希望您也將系統日誌記錄到遠端伺服器。入侵者可以將這些本地日誌檔案截斷為零大小,而 Tripwire 會很高興地忽略它。
sudo tripwire -m p -Z low /etc/tripwire/twpol.txt另外:在更改 txt 檔案以使其處於活動狀態後,請不要忘記執行 a (或等效操作)。