我们正在使用 Tripwire 监视 Ubuntu 服务器。每天都会向管理员发送一份报告。报告中会列出预期的违规行为,例如日志文件的添加/删除/修改。报告末尾会显示违规总数。即使数据库尚未更新,总违规次数是否可能逐日减少?例如,星期一我们有 90 次违规,而星期二,在没有更新数据库的情况下,违规次数下降到 83 次。仔细查看后发现,星期一报告中显示为已修改的一些文件在星期二报告中没有显示,在已删除的文件中也没有显示。我们应该担心吗?
答案1
可以吗?当然可以。
根据类似产品(AIDE、Integrit),对于检查的内容有一些可配置性。(我使用过这些产品,它们的配置文件与 Tripwire 类似,因此它们的操作方式可能类似)。如果不检查日期,并且已检查的更改被还原,则计数可能会下降。
例如,如果检查了权限,有一天某个文件被切换为“只读”,则可能会将其标记为更改。如果这给最终用户带来了问题,并引发了投诉,则更改可能已被恢复。下一份报告将不会注意到权限的更改。
我并不指望这种情况会发生太多。如果真的发生了,那可能只是少数更新。事实上,您报告的变更只有 90 个中的 7 个。这似乎在普遍可信的范围内。
现在,关于这是否确实是您遇到的情况,如果没有更多详细信息(例如您的配置是什么,以及报告了哪些违规行为),我们可能无法回答。共享此类详细信息可能会或可能不会涉及共享不应共享的信息。其中一些可能取决于信息的敏感程度。但是,如果您想要更精确的详细信息,则可能需要这样做。