无法在 tripwire 中排除 /var/log 监控?

无法在 tripwire 中排除 /var/log 监控?

我试图通过注释该行来排除 /var/log 监控

 /var/run                          -> $(SEC_CONFIG) ;
#/var/log                          -> $(SEC_CONFIG) ;
#/etc/ioctl.save                   -> $(SEC_CONFIG) ;
 /etc/issue.net                    -> $(SEC_CONFIG) -i ; # Inode number changes
 /etc/issue                        -> $(SEC_CONFIG) ;

提交更改后

tripwire --check --interactive

当我在 /var/log 下进行修改并重新运行报告时,它仍然报告 /var/log 下存在违规行为

-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------

Modified:
"/var/log/sa/sar06"

发现违规行为总数:1

答案1

我想到了:

tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt

这有助于更新签名的策略文件并检查排除该文件夹

相关内容