Número total de violações do Tripwire reduzidas sem atualizar o banco de dados

0

Estamos usando o Tripwire para vigiar um servidor Ubuntu. Existe um relatório diário que é enviado para o administrador. No relatório, há violações esperadas, por exemplo, acréscimos / remoções / modificações de arquivos de log. No final do relatório, há uma contagem total de violações. É possível que as Total Violations reduzam de um dia para o outro, mesmo que o banco de dados não tenha sido atualizado? Por exemplo, na segunda-feira tivemos 90 Total de Violações e na terça-feira, sem atualizar o banco de dados, as violações caíram para 83. Em um olhar mais atento, alguns arquivos exibidos como modificados no relatório de segunda-feira não foram exibidos no relatório de terça-feira e também não estavam nos arquivos removidos. Devemos estar preocupados?

    
por Christos Papaioannou 17.11.2015 / 03:12

1 resposta

0

É possível? Claro.

Com base em produtos similares (AIDE, Integrit), há alguma configurabilidade em relação ao que é verificado. (Eu usei esses produtos, que descreveram seu arquivo de configuração como sendo similar ao Tripwire, então é provável que funcionem de maneira semelhante). Se as datas não estão sendo verificadas e as alterações que são verificadas são revertidas, a contagem pode cair.

Por exemplo, se as permissões estiverem marcadas e um dia um arquivo for invertido para "somente leitura", isso poderá ser sinalizado como uma alteração. Se isso causou um problema para um usuário final, que reclamou, a alteração pode ter sido revertida. O próximo relatório não notará uma alteração nas permissões.

Eu não esperaria que isso acontecesse muito. Se isso acontecesse, provavelmente seria uma minoria de atualizações. Você está, de fato, relatando apenas 7 mudanças de 90. Isso parece estar dentro do âmbito de ser comumente crível.

Agora, considerando se isso é exatamente o que aconteceu no seu caso, talvez não possamos responder a isso sem mais detalhes (como o que é sua configuração e quais violações estão sendo relatadas). Compartilhar esses detalhes pode, ou não, envolver o compartilhamento de informações que não devem ser compartilhadas. Parte disso pode depender de quão sensível é a informação. No entanto, se você quiser detalhes mais precisos, isso pode ser necessário.

    
por 26.11.2015 / 05:32

Tags