当使用tripwire初始化数据库时–init会吐出一些与/ proc有关的错误:
### Warning: File system error. ### Filename: /proc/16982/fd/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/16982/fdinfo/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/16982/task/16982/fd/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/16982/task/16982/fdinfo/4 ### No such file or directory ### Continuing... ### Warning: Duplicate object encountered. ### /proc/sys/net/ipv6/neigh 这感觉像噪音。 twpol.txt文件包含以下子句:
# # Critical devices # ( rulename = "Devices & Kernel information", severity = $(SIG_HI), ) { /dev -> $(Device) ; /proc -> $(Device) ; }
如果我理解正确的话,会导致tripwire深深地关心/ proc的全部内容。 不应该只关心/ proc的静态部分,像驱动程序等,而不是每个pid的东西? 它为什么这样出货?
我在LinuxQuestions上find这篇文章。
修改,只有intreresting proc部分将被检查
# /proc -> $(Device) ; /proc/sys -> $(Device) ; /proc/cpuinfo -> $(Device) ; /proc/modules -> $(Device) ;
如果您对此感到困扰,则可以修改您的策略以从扫描中排除该文件夹….
排除/ proc你可以添加像这样的东西:
!/proc
到你的政策并重build数据库。