База данных Tripewire и PTS для удаленного сервера

1

Я устал от ложного срабатывания, вызванного сканированием Tripwire, обнаружив, что / dev / pts / 0 был удален.

Это соединение создается для моего сеанса SSH, когда я удаленно управляю системой и обновляю базу данных Tripwire. Помимо использования сценария оболочки, как показано ниже:

$ sleep 30
$ nohup tripwire --init 2>&1 >nohup.out

... который перестраивает и уничтожает базу данных и теряет историю.

У кого-нибудь есть решение для Tripwire, чтобы игнорировать мой собственный / dev / pts при запуске --check --interactive?

Тим

Тимоти Спир
источник

Ответы:

0

ОП почти год не работал, но вот как решить эту проблему (при условии, что я правильно понял):

Это взято из Джастина Эллингвуда : в вашем twpol.txtфайле в категории «Информация об устройстве и ядре» вы найдете раздел:

(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
        /dev            -> $(Device) ;
        /proc           -> $(Device) ;
}

Вы, вероятно, хотите прокомментировать, /procчто дает вам много ложных срабатываний, вместо этого включите в список элементов, которые вы найдете /proc/в поле вашего года , и добавьте

       /dev/pts         -> $(Device) ;

Tripwire не будет проверять это местоположение по умолчанию, поскольку ему предписано проверить / dev, а / dev / pts находится в отдельной файловой системе, в которую он не войдет, если не указано иное. Чтобы получить tripwire, чтобы проверить это, вы можете явно назвать его.

НТН.

Cbhihe
источник