我按照以下步骤安装了tripwire此在线文档在全新的 ubuntu 22.x 服务器上。我严格遵循上述文档,没有向 cfg 或 pol 文件添加任何自定义 mod。
此后不久,我收到了以下异常,在我看来,这些异常是基本的日志轮换:
Rule Name: System boot changes (/var/log)
Severity Level: 100
Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"
Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"
我的问题是,配置/策略 tripwire 的正确方法是什么,以便日志轮换不会触发报告异常。日志轮换是大多数 Linux 发行版标配的基本功能,而 tripwire 似乎不应该将其报告为严重性级别 100 的异常(tripwire 旨在检测对关键组件(例如 rootkit)的未经授权的更改)。
答案1
在你的tripwire策略配置文件(debian或ubuntu:/etc/tripwire/twpol.txt)下 'rulename = "System boot changes",'
更改
/var/log -> $(SEC_CONFIG) ;
到
/var/log -> $(IgnoreAll) ;
将有效忽略对日志文件的所有更改。[参考:man twpolicy]
日志文件名必须仍然存在,但任何内容更改都将被忽略。一旦建立正常的日志文件轮换名称交换,就会被忽略。
但任何新的或已删除的日志文件或目录名称都会被报告。在上面的示例中,Added条目仍会被报告,但Modified条目将被忽略。
出于安全考虑,我希望您还将系统日志记录到远程服务器。入侵者可以将这些本地日志文件截断为零大小,而tripwire 会欣然忽略它。
sudo tripwire -m p -Z low /etc/tripwire/twpol.txt另外:在对 txt 文件进行更改后,不要忘记执行(或等效操作)以使其处于活动状态。