许多年前,我在几台服务器上安装了 Tripwire,并从发行版提供的默认策略文件开始。有大量对不存在的文件的引用(因为没有安装相关的软件包),很多我认为应该包含但没有包含的文件;毫无疑问,有很多我没有想到的应该包含的文件。总而言之,这是一次痛苦的经历,我不认为我从中得到了最好的结果。
这是十年来的那个时候,闪亮的新服务器会出现在邮件中,这次我打算做得更好。所以,我这样做了:
Strict = $(IgnoreNone) -ar;
!/home;
!/proc;
!/run;
!/sys;
!/tmp;
/ -> $(Strict) (recurse=true);
/boot -> $(Strict) (recurse=true);
/boot/efi -> $(Strict) (recurse=true);
/dev -> $(Device) (recurse=true);
/dev/hugepages -> $(Device) (recurse=true);
/dev/mqueue -> $(Device) (recurse=true);
/dev/pts -> $(Device) (recurse=true);
/dev/shm -> $(Device) (recurse=true);
/var/lib/tripwire/$(HOSTNAME).twd -> $(Dynamic) -i;
/var/lib/tripwire/report -> $(Dynamic) (recurse=0);
/var/log -> $(Growing) -i (recurse=true);
我的期望是,在接下来的几天/几周内,我可能最终会收到大量针对完全无害的更改的警报,但我可以查看这些警报并适当修改策略文件。很快我就会制定出明智的政策。
我完全疯了,还是这是一个合理的起点?