我已经在 Debian 服务器上设置了 Tripwire,并且默认策略有一些奇怪的设置。
#
# Critical devices
#
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
# /proc -> $(Device) ;
}
/proc非常不稳定,所以我把它注释掉了,但我想我应该在这里明确地放一些内容。我有一些想法,但我会就此事征求意见。
另一件事是/var/log:
#
# These files change every time the system boots
#
(
rulename = "System boot changes",
severity = $(SIG_HI)
)
{
/var/lock -> $(SEC_CONFIG) ;
/var/run -> $(SEC_CONFIG) ; # daemon PIDs
# /var/log -> $(SEC_CONFIG) ;
}
同样,波动性太大,误报太多。我应该明确监控它的某些指定部分吗?什么?其余的/var是$(SIG_MED)和$(SEC_INVARIANT),这听起来/var/log也很合理。
答案1
我认为你的假设是正确的。
proc 中没有什么有趣的东西值得关注,而且它们每次都会发生变化。/dev 也是一个好问题。我以前有这行,但现在有了 udev,我不太确定了。
您还保留着这句话,是吗?
/var -> $(SEC_INVARIANT) (递归 = 0) ;
我对 tripwire 真正的问题是,它需要定期关注才能保持最新状态。当我有时间的时候,它工作得很好,但现在不行了。
也许值得一看萨温节。它只报告一次,然后了解变化。它还有其他很棒的功能(也许我以后会扩展它)。
答案2
你知道开源的tripwire已经过时了,而且不再受支持吗?此外,它的配置很麻烦,而且没有集中支持。
推荐的开源、集中支持且积极维护的完整性监视器包括:
—OSSEC—https://ossec.github.io/
—萨温 —http://www.la-samhna.de/samhain/
—奥西里斯 —http://osiris.shmoo.com/
我特别喜欢 OSSEC,它是最简单、最容易使用的......但请全部尝试一下,看看你是否喜欢。
答案3
根据已知校验和检查系统文件几乎毫无用处,因为 rootkit 开始伪造文件内容,从而提供正确的校验和。考虑使用更现代的工具(如 SElinux)专注于入侵检测和预防。