我厌倦了 Tripwire 扫描造成的误报,发现 /dev/pts/0 已被删除。
当我远程管理系统并更新 Tripwire 数据库时,将为我的 SSH 会话创建此连接。除了使用如下的 shell 脚本外:
$ sleep 30
$ nohup tripwire --init 2>&1 >nohup.out
...重建并销毁数据库并丢失历史记录。
有没有人有解决方案让 Tripwire 在运行 --check --interactive 时忽略我自己的 /dev/pts?
蒂姆
答案1
OP 已经有近一年没有任何活动了,但是这里是解决该问题的方法(假设我理解正确):
这取自贾斯汀·埃林伍德:在twpol.txt“设备和内核信息”类别的文件中,您将找到以下部分:
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
/proc -> $(Device) ;
}
你可能想注释掉/proc那些给你带来很多误报的东西,而是包括一些你/proc/在 yr 框中找到的项目,然后添加
/dev/pts -> $(Device) ;
默认情况下,Tripwire 不会检查该位置,因为它被告知要检查 /dev,而 /dev/pts 位于单独的文件系统上,除非指定,否则它不会进入该文件系统。要让 tripwire 也检查这个位置,您可以明确命名它。
嗨嗨。