我在 debian 服务器上设置了tripwire,默认策略有一些奇怪的设置。
#
# Critical devices
#
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
# /proc -> $(Device) ;
}
/proc非常不稳定,所以我已经将它注释掉了,但我想我应该把它的一些内容明确地放在这里。我有一些想法,但我会就这件事征求意见。
另一件事是/var/log:
#
# These files change every time the system boots
#
(
rulename = "System boot changes",
severity = $(SIG_HI)
)
{
/var/lock -> $(SEC_CONFIG) ;
/var/run -> $(SEC_CONFIG) ; # daemon PIDs
# /var/log -> $(SEC_CONFIG) ;
}
再次太不稳定和太多误报。我应该明确监视它的某些指定部分吗?其余的/var是$(SIG_MED)and $(SEC_INVARIANT),这听起来也很合理/var/log。
您知道tripwire 开源已过时且不再受支持吗?另外,它的配置很痛苦,而且没有集中支持。
推荐的开源完整性监视器,具有集中支持和积极维护是:
-OSSEC - https://ossec.github.io/
-Samhain - http://www.la-samhna.de/samhain/
-奥西里斯 - http://osiris.shmoo.com/
我特别喜欢 OSSEC,它是最简单、最容易使用的……但都试试看你是否喜欢。
我认为你的假设是好的。
proc 中没有什么有趣的东西值得关注,而且它们每次都在变化。/dev 也是一个好问题。我曾经有过那条线,但现在使用 udev 我不太确定。
你还有这条线,是吗?
我对tripwire 的真正问题是,它需要定期关注以保持最新状态。当我有时间时,它工作得很好,但现在不行了。
也许值得看看Samhain。它只报告一次,然后学习更改。它还有其他很棒的功能(也许我稍后会扩展它)。
根据已知校验和检查系统文件几乎没有用,因为 rootkit 开始伪造文件内容,从而提供正确的校验和。考虑使用更现代的工具(如 SElinux)专注于入侵检测和预防。