O tripwire deve entrar / proc?

5

Ao inicializar o banco de dados com o tripwire, digite um monte de erros referentes ao / proc:

### Warning: File system error.
### Filename: /proc/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: Duplicate object encountered.
### /proc/sys/net/ipv6/neigh

Isso parece barulho. O arquivo twpol.txt tem a seguinte cláusula:

#
# Critical devices
#
(
  rulename = "Devices & Kernel information",
  severity = $(SIG_HI),
)
{
        /dev            -> $(Device) ;
        /proc           -> $(Device) ;
}

O que, se eu entendi bem, vai fazer com que o tripwire se preocupe profundamente com todo o conteúdo do / proc. Não deveria se preocupar apenas com as partes estáticas de / proc como os drivers e tal, e não o material por-pid? Por que ele é enviado assim?

    
por dsadinoff 19.03.2012 / 10:31

2 respostas

7

Encontrei este post em LinuxQuestions .

Modifique para que somente partes intrerestas do proc sejam examinadas

# /proc -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;
    
por 27.12.2013 / 16:13
1

Se isso lhe incomodar, pode modificar a sua política para excluir a pasta das verificações ...

para excluir / proc, você pode adicionar algo como:

   !/proc

à sua política e reconstrua o banco de dados.

    
por 24.03.2012 / 02:27