[port139:00711] Re: [tripwire] 特定ディレクトリ以下を検査対象から外すには?

[KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx>]

  tripwire 導入後、それまで使っていたものを含めて合計 2 種類の
  file integrity checker を維持してみたのですが、operation cost が
  バカにならないことがわかりました。結局、もとのやつは消してしまい
  ました。うーむ……。

  tripwire の売りものの管理コンソールだと、ssh でいう ssh-agent み
  たいなことをしているんだろうなあ、とか思ったり……。

題名: [port139:00710] Re: [tripwire] 特定ディレクトリ以下を検査対
象から外すには ?
(<200110110439.AA00709@xxxxxxxxxxxxxxxxxxxx>) において
Hideaki Ihara さんがおっしゃるには:
| って別 mail で解決されちゃったようですが、監視対象のディレクトリ
| 配下にファイルが追加や削除されたりといった変化が発生した場合、
| 親ディレクトリにも変更(書き込み)が発生し”Modify Time”で違反が
| 発生します。

  そうなんですよね。現状、

  SEC_CRIT = $(IgnoreNone)-SHa ;

  /etc -> $(SEC_CRIT) (recurse = true) ;
  !/etc/ntp.drift ;

  とかなっているのですが、これだと毎日必ず 

Modified:
"/etc"

  が出てしまうのです。「/etc 下の他のディレクトリは Modified も検
  出したいが、/etc だけは無視したい」を簡単に記述する方法があると
  いいのですが。

| ですので、例えば $(ReadOnly)-m などとするか、小島さんが書かれた
| ようにチェックが必要となるプロパティ（例：+putg）だけを記述する
| ことでノイズとなる違反を回避できます。
| または、設定ファイル(tw.cfg)において
| 
| LOOSEDIRECTORYCHECKING = true
| 
| とした場合、ディレクトリに対する m と a は自動的にチェックされ
| ないようになりますので、

  これは全体に効いてしまうんですよね?  たとえば

  /etc -> $(SEC_CRIT)-m (recurse = true) ;

  だと /etc 以下全体で modified time の検出が止まってしまうわけで。

----

  もうひとつ悩んでいるのが、twpol.txt 自身の完全性チェックです。
  twpol.txt をチェックしていると、/path/tripwire -m p /path/twpol.txt
  では update に失敗しちゃいますよね?  でもチェックしないのもアレ
  ゲなので、しかたなく /path/tripwire -m p -Z low /path/twpol.txt
  でお茶を濁している (warning は読むと言うことで) のですが、みなさ
  んはどうされていらっしゃるのかしらん……。

----
// 木下是雄「理科系の作文技術」中公新書 624 を読もう!!

小島 肇 - KOJIMA Hajime - 龍谷大学 理工学部 電子情報学科 (RINS)
[Office] kjm@xxxxxxxxxxxxxxxxxx, http://www.st.ryukoku.ac.jp/~kjm/
         Phone: 077-543-7414  Fax: 077-543-0706