データベースを更新するたびに:
tripwire --check --interactive
/root
しかし、私はまだTripwireから状況が変わったという通知を受けました。
-------------------------------------------------------------------------------
Rule Name: Root config files (/root)
Severity Level: 100
-------------------------------------------------------------------------------
----------------------------------------
Modified Objects: 1
----------------------------------------
Modified object name: /root
Property: Expected Observed
------------- ----------- -----------
Object Type Directory Directory
Device Number 2049 2049
File Device Number 0 0
Inode Number 1572865 1572865
Mode drwx------ drwx------
Num Links 8 8
UID root (0) root (0)
GID root (0) root (0)
Size 4096 4096
* Modify Time Fri Jan 11 18:45:54 2019 Sat Jan 12 03:46:50 2019
* Change Time Fri Jan 11 18:45:54 2019 Sat Jan 12 03:46:50 2019
Blocks 8 8
新規インストール後のポリシーは次のとおりです.bash_history
。私はそのファイルの「間違った変更」から私の変更を識別する方法がわからないので、ちょうど削除しました。
# These files change the behavior of the root account
(
rulename = "Root config files",
severity = 100
)
{
/root -> $(SEC_CRIT) ; # Catch all additions to /root
/root/test_results -> $(SEC_CONFIG) -s;
/root/.joe_state -> $(SEC_CONFIG) -s;
# /root/mail -> $(SEC_CONFIG) ;
# /root/Mail -> $(SEC_CONFIG) ;
# /root/.xsession-errors -> $(SEC_CONFIG) ;
# /root/.xauth -> $(SEC_CONFIG) ;
# /root/.tcshrc -> $(SEC_CONFIG) ;
# /root/.sawfish -> $(SEC_CONFIG) ;
# /root/.pinerc -> $(SEC_CONFIG) ;
# /root/.mc -> $(SEC_CONFIG) ;
# /root/.gnome_private -> $(SEC_CONFIG) ;
# /root/.gnome-desktop -> $(SEC_CONFIG) ;
# /root/.gnome -> $(SEC_CONFIG) ;
# /root/.esd_auth -> $(SEC_CONFIG) ;
# /root/.elm -> $(SEC_CONFIG) ;
# /root/.cshrc -> $(SEC_CONFIG) ;
/root/.bashrc -> $(SEC_CONFIG) ;
# /root/.bash_profile -> $(SEC_CONFIG) ;
# /root/.bash_logout -> $(SEC_CONFIG) ;
# /root/.bash_history -> $(SEC_CONFIG) -s;
!/root/.bash_history ;
# /root/.amandahosts -> $(SEC_CONFIG) ;
# /root/.addressbook.lu -> $(SEC_CONFIG) ;
# /root/.addressbook -> $(SEC_CONFIG) ;
# /root/.Xresources -> $(SEC_CONFIG) ;
# /root/.Xauthority -> $(SEC_CONFIG) -i ; # Changes Inode number on login
# /root/.ICEauthority -> $(SEC_CONFIG) ;
}
「修正時間の変更」が発生する原因が何であるかはわかりませんが、面倒です。時間の変更を無視しながら、ルートフォルダの削除、追加、および変更されたファイルに集中し続ける方法はありますか?
おそらく/root -> $(SEC_CRIT) -m;
-m
ただし、ファイルの変更も無視されるかどうかはわかりません。
答え1
最初:これはタイムスタンプを無視する方法に対する直接的な答えではなく/root
、情報提供に近いですhowto configure tripwire to ignore some special changes inside the root folder
(まだ元の質問に答えていないからです)。
フォルダ内で何が変わったのかわからず、フォルダのタイムスタンプの変更だけを見るのはまだ残念です。 (コメントを参照)の助けを借りて、inotify
ルート内部のいくつかの変更を確認することができました。
これで、ルート変更につながる可能性があるいくつかの例があります。
- joeなどのエディタの一時ファイル(joeは最後の変更を保存するために末尾に〜を含むファイルを作成します)
- cronjobs、ルートディレクトリに何かを保存/更新するスクリプト
/root/.cache/
MC(Midnight Commander)などのプログラムを使用してください。/root/.cache/mc
/root/.config
htopやmcなどのプログラムを使用してください。/root/.local/
/root/.local/share/mc
mc()などのプログラムを使用してください- から変更されました
/root/.bash_history
- エディタジョーが使用する
/root/.joe_state
もちろん、ルート内で変化を引き起こすことができるものは数え切れないほど多く、inotifyはこれらの変化を識別するのに非常に役立ちます。
私の特別なケースでは、この構成に対する変更について不平を言うTripwireを停止しました。
/root -> $(SEC_CONFIG) ; # Catch all additions to /root
!/root/.bash_history ;
!/root/.joe_state ;
/root/.cache -> $(SEC_CONFIG) ;
/root/.config -> $(SEC_CONFIG) ;
/root/.local -> $(SEC_CONFIG) ;
/root
$(SEC_CRIT)
しかし、私の場合、それが悪いかどうかにかかわらず、ほとんどの作業はrootで行われているので、トリップワイヤをより静かにするために、代わりにuseを使用します$(SEC_CONFIG)
。
もちろん、私たちはこれらの質問の多くが次のように答えることができることに言及しなければなりません。ルートとして機能しない代わりにsudoを使用してください。ただし、できない場合や不要な場合は、ルート内で発生するすべての変更に注意を払う必要があります。