У меня есть сервер ubuntu с еженедельным автоматическим обновлением / обновлением и установлен tripwire.
Проблема в том, что автоматическое обновление делает tripwire бесполезным, поскольку изменения всегда происходят на моем сервере. Поэтому у меня постоянно есть нарушения, отмеченные tripwire.
Если бы были какие-то злонамеренные изменения, я бы их пропустил.
Что лучше всего в такой ситуации? Есть ли способ получать автоматические обновления и полезные отчеты Tripwire? Как люди обычно сочетают и то, и другое?
Я давно не пользовался tripwire, но концептуально:
Вы можете выбрать ограничить отчет Tripwire предупреждать / сообщать только об отсутствующих и вновь созданных файлах в */bin/, */sbin/ и */lib/ каталоги, а не сравнивать контрольные суммы файлов в этих каталогах.
Ты тогда используйте менеджер пакетов сообщать о целостности пакетов, как описано, например, в этот вопрос который должен определять, когда двоичные файлы были заменены или когда менеджер пакетов использовался для замены существующих пакетов ненадежными.
По общему признанию, кажется, что формат RPM немного сильнее, требуя подписанных пакетов, хотя Эта статья объясняет, как применять и проверять подписанные пакеты в Debian и Ubuntu.