tripwire:ルートフォルダのタイムスタンプ変更を無視する

tripwire:ルートフォルダのタイムスタンプ変更を無視する

データベースを更新するたびに:

tripwire --check --interactive

/rootしかし、私はまだTripwireから状況が変わったという通知を受けました。

-------------------------------------------------------------------------------
Rule Name: Root config files (/root)
Severity Level: 100
-------------------------------------------------------------------------------
  ----------------------------------------
  Modified Objects: 1
  ----------------------------------------

Modified object name:  /root

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
  Object Type          Directory                   Directory                   
  Device Number        2049                        2049                        
  File Device Number   0                           0                           
  Inode Number         1572865                     1572865                     
  Mode                 drwx------                  drwx------                  
  Num Links            8                           8                           
  UID                  root (0)                    root (0)                    
  GID                  root (0)                    root (0)                    
  Size                 4096                        4096                        
* Modify Time          Fri Jan 11 18:45:54 2019    Sat Jan 12 03:46:50 2019    
* Change Time          Fri Jan 11 18:45:54 2019    Sat Jan 12 03:46:50 2019    
  Blocks               8                           8  

新規インストール後のポリシーは次のとおりです.bash_history 。私はそのファイルの「間違った変更」から私の変更を識別する方法がわからないので、ちょうど削除しました。


# These files change the behavior of the root account
(
  rulename = "Root config files",
  severity = 100
)
{
        /root                           -> $(SEC_CRIT) ; # Catch all additions to /root
        /root/test_results              -> $(SEC_CONFIG) -s;
        /root/.joe_state                -> $(SEC_CONFIG) -s;
#       /root/mail                      -> $(SEC_CONFIG) ;
#       /root/Mail                      -> $(SEC_CONFIG) ;
#       /root/.xsession-errors          -> $(SEC_CONFIG) ;
#       /root/.xauth                    -> $(SEC_CONFIG) ;
#       /root/.tcshrc                   -> $(SEC_CONFIG) ;
#       /root/.sawfish                  -> $(SEC_CONFIG) ;
#       /root/.pinerc                   -> $(SEC_CONFIG) ;
#       /root/.mc                       -> $(SEC_CONFIG) ;
#       /root/.gnome_private            -> $(SEC_CONFIG) ;
#       /root/.gnome-desktop            -> $(SEC_CONFIG) ;
#       /root/.gnome                    -> $(SEC_CONFIG) ;
#       /root/.esd_auth                 -> $(SEC_CONFIG) ;
#       /root/.elm                      -> $(SEC_CONFIG) ;
#       /root/.cshrc                    -> $(SEC_CONFIG) ;
        /root/.bashrc                   -> $(SEC_CONFIG) ;
#       /root/.bash_profile             -> $(SEC_CONFIG) ;
#       /root/.bash_logout              -> $(SEC_CONFIG) ;
#       /root/.bash_history             -> $(SEC_CONFIG) -s;
        !/root/.bash_history ;
#       /root/.amandahosts              -> $(SEC_CONFIG) ;
#       /root/.addressbook.lu           -> $(SEC_CONFIG) ;
#       /root/.addressbook              -> $(SEC_CONFIG) ;
#       /root/.Xresources               -> $(SEC_CONFIG) ;
#       /root/.Xauthority               -> $(SEC_CONFIG) -i ; # Changes Inode number on login
#       /root/.ICEauthority                 -> $(SEC_CONFIG) ;
}

「修正時間の変更」が発生する原因が何であるかはわかりませんが、面倒です。時間の変更を無視しながら、ルートフォルダの削除、追加、および変更されたファイルに集中し続ける方法はありますか?

おそらく/root -> $(SEC_CRIT) -m;

-mただし、ファイルの変更も無視されるかどうかはわかりません。

答え1

最初:これはタイムスタンプを無視する方法に対する直接的な答えではなく/root、情報提供に近いですhowto configure tripwire to ignore some special changes inside the root folder(まだ元の質問に答えていないからです)。

フォルダ内で何が変わったのかわからず、フォルダのタイムスタンプの変更だけを見るのはまだ残念です。 (コメントを参照)の助けを借りて、inotifyルート内部のいくつかの変更を確認することができました。

これで、ルート変更につながる可能性があるいくつかの例があります。

  • joeなどのエディタの一時ファイル(joeは最後の変更を保存するために末尾に〜を含むファイルを作成します)
  • cronjobs、ルートディレクトリに何かを保存/更新するスクリプト
  • /root/.cache/MC(Midnight Commander)などのプログラムを使用してください。/root/.cache/mc
  • /root/.confightopやmcなどのプログラムを使用してください。
  • /root/.local//root/.local/share/mcmc()などのプログラムを使用してください
  • から変更されました/root/.bash_history
  • エディタジョーが使用する/root/.joe_state

もちろん、ルート内で変化を引き起こすことができるものは数え切れないほど多く、inotifyはこれらの変化を識別するのに非常に役立ちます。

私の特別なケースでは、この構成に対する変更について不平を言うTripwireを停止しました。

        /root -> $(SEC_CONFIG) ; # Catch all additions to /root
        !/root/.bash_history ;
        !/root/.joe_state ;
        /root/.cache  -> $(SEC_CONFIG) ;
        /root/.config -> $(SEC_CONFIG) ;
        /root/.local  -> $(SEC_CONFIG) ;

/root$(SEC_CRIT)しかし、私の場合、それが悪いかどうかにかかわらず、ほとんどの作業はrootで行われているので、トリップワイヤをより静かにするために、代わりにuseを使用します$(SEC_CONFIG)

もちろん、私たちはこれらの質問の多くが次のように答えることができることに言及しなければなりません。ルートとして機能しない代わりにsudoを使用してください。ただし、できない場合や不要な場合は、ルート内で発生するすべての変更に注意を払う必要があります。

関連情報