当使用 tripwire --init 初始化数据库时,它会吐出一堆与 /proc 相关的错误:
### Warning: File system error.
### Filename: /proc/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: Duplicate object encountered.
### /proc/sys/net/ipv6/neigh
这听起来像噪音。该 twpol.txt 文件具有以下子句:
#
# Critical devices
#
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
/proc -> $(Device) ;
}
如果我理解正确的话,这将导致 tripwire 非常关注 /proc 的所有内容。它难道不应该只关注 /proc 的静态部分(如驱动程序等),而不是每个 pid 的内容吗?为什么它以这种方式发布?
答案1
我发现这个帖子Linux问题。
进行修改,以便只检查 proc 中有趣的部分
# /proc -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;
答案2
如果这对您来说很麻烦,您可以修改您的策略以将该文件夹排除在扫描之外......
要排除 /proc 你可以添加类似以下内容:
!/proc
您的政策并重建数据库。