Atualização automática do servidor com o IDS do tripwire

1

Eu tenho um servidor Ubuntu com atualização / atualização automática semanal e instalação do tripwire.

O problema é que a atualização automática faz com que o tripwire seja inútil, já que as alterações sempre ocorrem no meu servidor. Por isso, constantemente tenho violações sinalizadas por tripwire.

Se houvesse alguma alteração maliciosa, sentiria falta deles.

Qual é a melhor prática em tal situação? Existe uma maneira de ter atualizações automáticas e relatórios úteis sobre o tripwire? Como as pessoas costumam combinar os dois?

    
por Cyrus 05.01.2015 / 01:55

1 resposta

0

Eu não usei o tripwire em idades, mas conceitualmente :

Você pode optar por limitar o relatório do tripwire para alertar / relatar apenas os arquivos ausentes e recém-criados nos diretórios */bin/ , */sbin/ e */lib/ , em vez de comparar as somas de verificação do arquivos nesses diretórios.

Você, então, usa o gerenciador de pacotes para relatar a integridade dos pacotes, conforme explicado, por exemplo, pergunta que deve detectar quando os binários foram substituídos ou quando o gerenciador de pacotes foi usado para substituir pacotes existentes por pacotes não confiáveis.

É certo que o formato RPM é um pouco mais strong ao exigir pacotes assinados, embora este artigo explica como impor e verificar pacotes assinados no Debian e no Ubuntu.

    
por 05.01.2015 / 11:04