我正在尝试在 Open Source Tripwire 中创建一个策略文件,我想在其中添加一条规则来忽略给定目录中文件的所有添加和删除,同时仍然检测对同一目录中文件的修改。
我检查了 twpolicy 手册页,找到了属性掩码来指定要监视的文件修改。但是我无法找到属性掩码来使 Tripwire 忽略文件添加和/或删除。
我想要在 Tripwire(开源)中做的事情可行吗?如果是这样,有人可以告诉我该怎么做吗?
答案1
简单地查看有关 tw 政策编写的任意数量的页面(示例这里)将告诉您如何包含停止点在你的政策中。
引用自上述参考文献:
停靠点:停止点用于指定 Tripwire 不应扫描的特定文件或目录。停止点的语法是:
! object_name ;*
编辑:如果在下面的每年评论中,您只想检查文件修改而不包括“创建”和“删除”,则在解释该特定策略规则(例如创建和删除文件)时可能存在语义问题。文件在逻辑上可以被视为“修改”。你可能想检查一下。如果是这样,下面的第一个属性掩码可能会给您带来误报,即您将检测到文件修改,即使这些标志是由于创建或删除而引发的。请继续阅读。
同时,查看以下属性是否掩码(正如第一行给出的参考文献中所解释的) 为你而做:
/fully/qualified/path/to/object -> +m-i;
或者
/fully/qualified/path/to/object -> +M;
说明,参见man页:
- m --- 修改时间戳
- i --- inode 号
- M --- MD5哈希值(只检查文件内容,不检查权限等)
在哪里:
+意思是“记录并检查以下属性”
-意思是“忽略以下属性”
我假设你已经熟悉索引节点。如果不首页是你的朋友...你可能需要进行一些尝试。
HTH。