[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00712] Re: [tripwire] 特定ディレクトリ以下を検査対象から外すには?

おはようございます、伊原です。

KOJIMA Hajime / 小島肇 さんは書きました:
>  が出てしまうのです。「/etc 下の他のディレクトリは Modified も検
>  出したいが、/etc だけは無視したい」を簡単に記述する方法があると
>  いいのですが。

残念ながら現状でそのような記述の仕方はないと思いますので、その
下のディレクトリで個別にルールを記述していく必要がありますね。

サンプルポリシーなどは LOOSEDIRECTORYCHECKING = true での運用が
前提となっていると個人的には解釈しています。
rootkit が利用する /dev の監視をどうするのかっていう問題があり
ますが...

>| LOOSEDIRECTORYCHECKING = true
>| 
>| とした場合、ディレクトリに対する m と a は自動的にチェックされ
>| ないようになりますので、
>
>  これは全体に効いてしまうんですよね?  たとえば

はい、全体に効いてしまいます。

>  もうひとつ悩んでいるのが、twpol.txt 自身の完全性チェックです。
>  twpol.txt をチェックしていると、/path/tripwire -m p /path/twpol.txt
>  では update に失敗しちゃいますよね?  でもチェックしないのもアレ
>  ゲなので、しかたなく /path/tripwire -m p -Z low /path/twpol.txt
>  でお茶を濁している (warning は読むと言うことで) のですが、みなさ
>  んはどうされていらっしゃるのかしらん……。

基本的には、一度 -Z high (デフォルト)を実行し違反の内容を確認した
ら -Z low を実行になると思いますが、-Z low では旧ポリシーと新ポリ
シーの両方で違反するものがあってもポリシーファイルとデータベース
をアップデートしてしまいますのでご注意くださいませ。

で、肝心の twpol.txt ですが、基本的には通常はシステムから削除して
おき(ルール上は !twpol.txt;)テキストベースのファイルが必要になった
ら twadmin -m p で生成するのが簡単だと思います。

 twadmin -m p > twpol.txt

あとは siggen でハッシュ値を別途確保とかですかね。


---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/