При инициализации db с помощью tripwire --init он выдал кучу ошибок, относящихся к / proc:
### Warning: File system error.
### Filename: /proc/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: Duplicate object encountered.
### /proc/sys/net/ipv6/neigh
Это похоже на шум. В twpol.txt файл имеет следующий пункт:
#
# Critical devices
#
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
/proc -> $(Device) ;
}
Что, если я правильно понимаю, заставит tripwire глубоко позаботиться обо всем содержимом / proc. Разве он не должен заботиться только о статических частях / proc, таких как драйверы и тому подобное, а не о материалах для каждого pid? Почему он так доставляется?
Я нашел этот пост на LinuxВопросы.
Измените так, чтобы проверялись только интересные части процедуры.
# /proc -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;
Если вас это так сильно беспокоит, вы можете изменить свою политику, чтобы исключить папку из сканирования ...
чтобы исключить / proc, вы можете добавить что-то вроде:
!/proc
к вашей политике и восстановите базу данных.