tripwire 是否应该进入 /proc ?

tripwire 是否应该进入 /proc ?

当使用 tripwire --init 初始化数据库时,它会吐出一堆与 /proc 相关的错误:

### Warning: File system error.
### Filename: /proc/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: Duplicate object encountered.
### /proc/sys/net/ipv6/neigh

这听起来像噪音。该 twpol.txt 文件具有以下子句:

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
        /dev            -> $(Device) ;
        /proc           -> $(Device) ;
}

如果我理解正确的话,这将导致 tripwire 非常关注 /proc 的所有内容。它难道不应该只关注 /proc 的静态部分(如驱动程序等),而不是每个 pid 的内容吗?为什么它以这种方式发布?

答案1

我发现这个帖子Linux问题

进行修改,以便只检查 proc 中有趣的部分

# /proc -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;

答案2

如果这对您来说很麻烦,您可以修改您的策略以将该文件夹排除在扫描之外......

要排除 /proc 你可以添加类似以下内容:

   !/proc

您的政策并重建数据库。

相关内容