Eu descobri:
tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
Isso ajudou a atualizar o arquivo de políticas chamuscadas e as verificações excluídas dessa pasta
Estou tentando excluir o monitoramento / var / log comentando essa linha
/var/run -> $(SEC_CONFIG) ;
#/var/log -> $(SEC_CONFIG) ;
#/etc/ioctl.save -> $(SEC_CONFIG) ;
/etc/issue.net -> $(SEC_CONFIG) -i ; # Inode number changes
/etc/issue -> $(SEC_CONFIG) ;
Depois de confirmar as alterações
tripwire --check --interactive
Quando eu faço a modificação em / var / log e executo novamente o relatório, ele ainda reporta a voilation em / var / log
-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------
Modified:
"/var/log/sa/sar06"
Total de violações encontradas: 1
Eu descobri:
tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
Isso ajudou a atualizar o arquivo de políticas chamuscadas e as verificações excluídas dessa pasta