Sugestões de política do Tripwire

6

Eu configurei o tripwire em um servidor Debian, e a política padrão tinha algumas configurações estranhas.

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
    /dev            -> $(Device) ;
#   /proc           -> $(Device) ;
}

/proc é muito volátil, então eu comentei, mas acho que devo colocar alguns conteúdos explicitamente aqui. Eu tenho algumas idéias, mas vou pedir um conselho sobre esse assunto.

Outra coisa é /var/log :

#
# These files change every time the system boots
#
(
  rulename = "System boot changes",
  severity = $(SIG_HI)
)
{
    /var/lock               -> $(SEC_CONFIG) ;
    /var/run                -> $(SEC_CONFIG) ; # daemon PIDs
#   /var/log                -> $(SEC_CONFIG) ;
}

Novamente, muito volátil e muitos falsos positivos. Devo monitorar explicitamente algumas partes especificadas e quais. Restante de /var é $(SIG_MED) e $(SEC_INVARIANT) , o que parece razoável para /var/log também.

    
por Slartibartfast 03.06.2009 / 01:20

3 respostas

5

Acho que suas suposições estão bem.

Não há nada interessante em proc para assistir, e eles mudam o tempo todo. / dev também é uma boa pergunta. Eu costumava ter essa linha, mas agora com o udev eu não tenho tanta certeza.

Você ainda tem essa linha, né?

/var -> $(SEC_INVARIANT) (recurse = 0) ;

Meu verdadeiro problema com o tripwire é que requer atenção regular para mantê-lo atualizado. Quando eu tive tempo, funcionou muito bem, mas não mais.

Talvez valha a pena dar uma olhada em Samhain. Ele reporta apenas uma vez e aprende as mudanças. Ele tem outros ótimos recursos (talvez eu estenda isso depois).

    
por 03.06.2009 / 17:24
5

Você sabe que o open source tripwire está desatualizado e não tem mais suporte? Além disso, sua configuração é trabalhosa e não tem suporte centralizado.

Os monitores de integridade recomendados que são de código aberto, com suporte centralizado e ativamente mantidos são:

-OSSEC - link

-Samhain - link

-Osiris - link

Eu sou especialmente fã do OSSEC, que é o mais simples e fácil de usar ... Mas experimente todos e veja se você gosta.

    
por 03.06.2009 / 15:01
0

A verificação dos arquivos do sistema em relação a checksums conhecidos é inútil, já que o rootkit começou a falsificar o conteúdo do arquivo, fornecendo, portanto, checksums corretos. Considere concentrar-se na detecção e prevenção de invasões usando ferramentas mais modernas, como o SElinux.

    
por 26.06.2009 / 23:06