Ignora as adições e exclusões de arquivos no Tripwire (Open Source)

0

Estou tentando criar um arquivo de política no Open Source Tripwire, no qual desejo adicionar uma regra para ignorar todas as adições e exclusões de arquivos dentro de um determinado diretório e, ao mesmo tempo, detectar modificações em arquivos no mesmo diretório.

Eu verifiquei a página do manual twpolicy e encontrei as máscaras de propriedades para especificar quais modificações de arquivos monitorar. No entanto, não consegui encontrar uma máscara de propriedade para fazer o Tripwire ignorar as adições e / ou exclusões de arquivos.

É o que estou tentando fazer no Tripwire (código aberto)? Se assim for, alguém pode me mostrar como fazer isso?

    
por Nilushan 21.09.2017 / 19:25

1 resposta

0

Uma simples olhada em qualquer número de páginas sobre a composição de políticas (por exemplo aqui ) lhe dirá como inclua um ponto de parada em sua política.

Citado a partir da referência acima:

Parar Pontos : Os pontos de parada são usados para especificar arquivos ou diretórios específicos que o Tripwire não deve escanear. A sintaxe dos pontos de parada é: ! object_name ;*

EDITAR : Se, por comentário abaixo, você quiser apenas verificar modificações de arquivos à exclusão de "criação" & "exclusão", pode haver um problema de semântica na interpretação dessa regra de política específica, pois a criação e a exclusão de um arquivo podem ser logicamente consideradas como "modificações". Você pode querer verificar isso. Em caso afirmativo, a primeira máscara de propriedade abaixo pode fornecer falsos positivos, no sentido de que você detectará modificações no arquivo, mesmo se esses sinalizadores forem gerados como resultado de uma criação ou exclusão. Leia em.

Enquanto isso, veja se as seguintes máscaras de propriedade ( como explicado na referência dada na 1ª linha ) fazem isso por você:

/fully/qualified/path/to/object ->  +m-i;

ou

/fully/qualified/path/to/object ->  +M;

Explicação, veja a man page:

  • m --- timestamp de modificação
  • i --- número do inode
  • M --- valor de hash MD5 (verifica apenas o conteúdo do arquivo, não as permissões, etc.)

onde:
+ significa "registrar e verificar a seguinte propriedade"
- significa "ignorar a seguinte propriedade"

Suponho que você já esteja familiarizado com inodes . Se não StartPage é seu amigo ... Você provavelmente precisará experimentar um pouco.

HTH.

    
por 22.09.2017 / 11:48

Tags