Назад | Перейти на главную страницу

Предложения по политике Tripwire

Я установил tripwire на сервере debian, и в политике по умолчанию были некоторые странные настройки. 

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
    /dev            -> $(Device) ;
#   /proc           -> $(Device) ;
}

/proc очень изменчив, поэтому я его закомментировал, но думаю, мне следует явно поместить сюда часть его содержимого. У меня есть кое-какие идеи, но я прошу совета по этому поводу.

Другое дело /var/log :

#
# These files change every time the system boots
#
(
  rulename = "System boot changes",
  severity = $(SIG_HI)
)
{
    /var/lock               -> $(SEC_CONFIG) ;
    /var/run                -> $(SEC_CONFIG) ; # daemon PIDs
#   /var/log                -> $(SEC_CONFIG) ;
}

Опять же слишком нестабильно и слишком много ложных срабатываний. Должен ли я явно отслеживать определенные его части и что. Остаток /var является $(SIG_MED) и $(SEC_INVARIANT), что звучит разумно для /var/log слишком.

Вы знаете, что открытый исходный код tripwire устарел и больше не поддерживается? Кроме того, его конфигурация вызывает затруднения и не имеет централизованной поддержки.

Рекомендуемые мониторы целостности с открытым исходным кодом, централизованной поддержкой и активной поддержкой:

-ОССЕК - https://ossec.github.io/

-Самхайн - http://www.la-samhna.de/samhain/

-Осирис - http://osiris.shmoo.com/

Я особенно фанат OSSEC, который является самым простым и легким в использовании ... Но попробуйте их все и посмотрите, понравится ли вам.

Я думаю, что ваши предположения в порядке.

В proc нет ничего интересного, за чем нужно следить, и они каждый раз меняются. / dev - тоже хороший вопрос. Раньше у меня была эта строчка, но теперь с udev я не уверен.

У тебя еще есть эта линия?

/ var -> $ (SEC_INVARIANT) (рекурсивный = 0);

Моя настоящая проблема с tripwire заключается в том, что он требует регулярного внимания, чтобы поддерживать его в актуальном состоянии. Когда у меня было время, все работало отлично, но больше нет.

Может стоит взглянуть на Самайн. Он сообщает только один раз, а затем узнает об изменениях. У него есть и другие замечательные функции (возможно, я расширю их позже).

Проверка системных файлов на соответствие известным контрольным суммам в большинстве случаев бесполезна, поскольку руткит начал подделывать содержимое файлов, следовательно, обеспечивая правильные контрольные суммы. Рассмотрите возможность сосредоточения внимания на обнаружении и предотвращении вторжений с помощью более современных инструментов, таких как SElinux.