我试图通过注释该行来排除 /var/log 监控
/var/run -> $(SEC_CONFIG) ;
#/var/log -> $(SEC_CONFIG) ;
#/etc/ioctl.save -> $(SEC_CONFIG) ;
/etc/issue.net -> $(SEC_CONFIG) -i ; # Inode number changes
/etc/issue -> $(SEC_CONFIG) ;
提交更改后
tripwire --check --interactive
当我在 /var/log 下进行修改并重新运行报告时,它仍然报告 /var/log 下存在违规行为
-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------
Modified:
"/var/log/sa/sar06"
发现违规行为总数:1
答案1
我想到了:
tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
这有助于更新签名的策略文件并检查排除该文件夹