我已经在debian服务器上设置tripwire,默认策略有一些奇怪的设置。
# # Critical devices # ( rulename = "Devices & Kernel information", severity = $(SIG_HI), ) { /dev -> $(Device) ; # /proc -> $(Device) ; } /proc是非常不稳定的,所以我已经评论了,但我想我应该把它的一些内容明确地在这里。 我有一些想法,但我会就这个问题征求意见。
其他的东西是/var/log :
# # These files change every time the system boots # ( rulename = "System boot changes", severity = $(SIG_HI) ) { /var/lock -> $(SEC_CONFIG) ; /var/run -> $(SEC_CONFIG) ; # daemon PIDs # /var/log -> $(SEC_CONFIG) ; }
再次太多波动和太多的误报。 我是否应该明确监视它的某些指定部分? /var其余部分是$(SIG_MED)和$(SEC_INVARIANT) ,这对于/var/log也是合理的。
我认为你的假设是可以的。
程序中没有什么有趣的东西可以观察,而且每次都会改变。 / dev也是一个很好的问题。 我曾经有过这样的路线,但是现在我用udev来说不太确定。
你还有这条线,是吗?
/ var – > $(SEC_INVARIANT)(recurse = 0);
我用tripwire的真正问题是,它需要经常注意保持它的最新。 当我有时间的时候,它的工作很好,但不再。
也许值得看看Samhain 。 它只报告一次,然后学习这些变化。 它还有其他很棒的function(也许我会在稍后扩展)。
你知道tripwire开源已经过时,不再支持吗? 此外,它的configuration是一个痛苦,没有集中的支持。
推荐的开放源代码完整性监视器,集中支持并积极维护:
-OSSEC – https://ossec.github.io/
-Samhain – http://www.la-samhna.de/samhain/
-Osiris – http://osiris.shmoo.com/
我特别是OSSEC的粉丝,这是最简单,最容易使用的…但尝试所有,看看你是否喜欢。
检查系统文件对已知的校验和是无用的,因为rootkit开始伪造文件内容,因此提供了正确的校验和。 考虑使用更多的现代工具,如SElinux,关注入侵检测和预防。