回顾最近的 tripwire 运行情况,大约一周前的一个晚上,tripwire 突然检测到 11042 个已更改的文件,这些文件全部发生了更改仅有的是块数,而不是大小、CRC32、MD5、inode 或其他任何方面。我在 tripwire 日志中检查到的所有以这种方式更改的文件都大了 8 个块。如果我忽略仅在块数上更改的文件,则所有其他更改都是我知道自己所做的预期更改,或日志文件更改等预期更改。 先说一下背景,这台服务器在 6 月 19 日突然出现故障,所以我更换了主板,但保留了磁盘。(磁盘都比主板新得多。)该系统运行的是 Fedora 23。6 月 20...
我试图通过注释该行来排除 /var/log 监控 /var/run -> $(SEC_CONFIG) ; #/var/log -> $(SEC_CONFIG) ; #/etc/ioctl.save -> $(SEC_CONFIG) ; /etc/issue.net -> $(SEC_CONFIG) -i ; # Inode number changes /...
我们正在使用 Tripwire 监视 Ubuntu 服务器。每天都会向管理员发送一份报告。报告中会列出预期的违规行为,例如日志文件的添加/删除/修改。报告末尾会显示违规总数。即使数据库尚未更新,总违规次数是否可能逐日减少?例如,星期一我们有 90 次违规,而星期二,在没有更新数据库的情况下,违规次数下降到 83 次。仔细查看后发现,星期一报告中显示为已修改的一些文件在星期二报告中没有显示,在已删除的文件中也没有显示。我们应该担心吗? ...
内核:5.8.0-31-generic x86_64 位:64 编译器:gcc v: 10.2.0 桌面:i3 4.18 发行版:Ubuntu 20.10 (Groovy Gorilla) tripwire 在 VM 上运行良好,但在主机上发生段错误,如下所示: 当我运行 tripwire --init -v 时,我得到以下信息 sudo tripwire --init -v Open Source Tripwire(R) 2.4.3.7.0 built for x86_64-pc-linux-gnu Open Source Tripwire 2.4 P...
我正在尝试在 Ubuntu 20.10 上安装 tripwire。我尝试使用 sudo apt install tripwire 然后我按照通常的步骤这里。这给了我: $ sudo tripwire --init Please enter your local passphrase: Parsing policy file: /etc/tripwire/tw.pol Generating the database... *** Processing Unix File System *** Software interrupt forced exit: S...
我按照以下步骤安装了tripwire此在线文档在全新的 ubuntu 22.x 服务器上。我严格遵循上述文档,没有向 cfg 或 pol 文件添加任何自定义 mod。 此后不久,我收到了以下异常,在我看来,这些异常是基本的日志轮换: Rule Name: System boot changes (/var/log) Severity Level: 100 Added: "/var/log/syslog.3.gz" "/var/log/mail.log.3.gz" "/var/log/auth.log.3.gz" "/var/log/kern.log.3.g...
我是管理自己的网络服务器领域的新手,因此一直在努力跟上最佳惯例。 Tripwire 设置为每天运行,并将结果通过电子邮件发送给我。说实话,当列出修改/添加/删除的文件时,我不确定这是正常的系统进程(例如日志文件正在更新)还是发生了一些可疑的事情。 有人可以给我提供一些参考资料吗?或者看看我最近的一些日志,然后告诉我是否有任何可疑的地方? 这是我最新的 Tripwire 报告的摘录,其中介绍了我最困惑的部分。我从未编辑过其中任何内容。 Modified: "/sbin" "/sbin/halt" "/sbin/init" "/sbin/poweroff" "/...
我们在 Ubuntu 服务器上使用 tripwire 来监控关键文件的完整性。我们定期使用 apt 更新软件包,但 tripwire 发出噪音,因为工作人员发现,在知道我们已批准的更改的情况下更新 tripwire 很麻烦。 是否有一个脚本可以用于包装apt update; apt upgrade一些 tripwire 命令,如果 tripwire 存在已知问题(一定程度),则在启动 apt 升级之前中止,并在升级后将 apt upgrade 所做的任何更改提交到 tripwire 已知的基线状态?我意识到 apt 升级期间可能会发生入侵,从而更改其他文件,...
我昨天在新的 VPS(两天前创建的)中安装了 Tripwire(我是 Tripwire 新手)。我按照以下步骤操作本教程设置 Tripwire 并且一切正常,我的报告没有任何违规或错误。 今天我再次运行tripwire检查,结果让我大吃一惊:报告显示有2624个违规行为,包括启动脚本。报告很大,所以我只把主要部分放在这里。 =============================================================================== Report Summary: =====================...
总结: 问题:如何配置 Tripwire 来监视特定路径下的所有内容?我当前的配置似乎只查看给定路径中的某些文件/目录,而不是所有内容。 背景/完整故事: 我最近在一台包含一些易受攻击的 PHP 代码的服务器上安装了 Tripwire。我添加了一条名为“网站”的规则,其中包含从该服务器运行的多个网站(以下代码片段)。 # Rulset for websites ( rulename = "Websites", severity = $(SIG_HI), emailto = "[email protected]" ) ...
我安装了 tripwire,但错误地要求它安装 postfix。我怎样才能删除 postfix 而不丢失 tripwire? root@blah:~# apt-get remove postfix Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be REMOVED: mailutils postfix tripwire 0 upgraded, 0 ne...
我们在一个客户站点遇到了一个问题,当一分钟内从不同 IP 地址单独创建超过 1000 个 HTTP 连接时,Tripwire 会标记事件。我们已在 Web 服务器(Linux 上的 Apache)上启用了保持活动(10 秒)。我们进行了一些网络捕获并注意到,虽然保持活动超时得到遵守,但它仍可能为请求创建多个连接。 有人知道为什么要创建所有这些 HTTP 连接吗?任何帮助都将不胜感激。 编辑:为避免混淆 ...
Tripwire 报告称,“/proc/sys/net/ipv4”和“/proc/sys/net/ipv6”的各个子文件夹中添加了 172 个文件。 我该如何调查此事? 我正在运行 Ubuntu 14 vps。 ...
我有一台 ubuntu 服务器,安装了每周自动更新/升级和 tripwire。 问题是,自动更新让 Tripwire 变得毫无用处,因为我的服务器总是在发生变化。因此,我经常会遇到 Tripwire 标记的违规行为。 如果有任何恶意更改,我会错过它们。 在这种情况下,最佳做法是什么?有没有办法自动更新并提供有用的绊网报告?人们通常如何将两者结合起来? ...
我有个问题 我上次运行 Tripwire 已经有一段时间了。(一年) 我可以做一份报告。(大约需要 1 小时 30 分钟) 但是当我运行命令来接受文件时,它只是运行、运行、运行,从不要求我输入本地密码。(它已经运行了三天) sudo /usr/local/sbin/tripwire --update --accept-all --twrfile /usr/local/lib/tripwire/report/Filenameremoved-20140811-164856.twr 我不得不取消它因为它使我们的网站上线。 我怎样才能找出为什么会发...