%EC%97%90%EC%84%9C%20%ED%8C%8C%EC%9D%BC%20%EC%B6%94%EA%B0%80%20%EB%B0%8F%20%EC%82%AD%EC%A0%9C%20%EB%AC%B4%EC%8B%9C.png)
오픈 소스 Tripwire에서 정책 파일을 생성하려고 합니다. 여기에는 동일한 디렉터리에 있는 파일에 대한 수정 사항을 계속 감지하면서 특정 디렉터리에 있는 파일의 모든 추가 및 삭제를 무시하는 규칙을 추가하고 싶습니다.
twpolicy 매뉴얼 페이지를 확인하고 모니터링할 파일 수정 사항을 지정하는 속성 마스크를 찾았습니다. 하지만 Tripwire가 파일 추가 및/또는 삭제를 무시하도록 하는 속성 마스크를 찾을 수 없습니다.
Tripwire(오픈소스)에서 내가 하고 싶은 일이 가능한가요? 그렇다면 누군가 이 작업을 수행하는 방법을 말해 줄 수 있습니까?
답변1
tw 정책 작성에 대한 페이지 수를 확인하기만 하면 됩니다(예:여기) 포함하는 방법을 알려줄 것입니다.중지 지점귀하의 정책에서.
위의 참조에서 인용 :
멈추다:정지 지점은 Tripwire가 검사하지 말아야 할 특정 파일이나 디렉터리를 지정하는 데 사용됩니다. 중지 지점의 구문은 다음과 같습니다.
! object_name ;*
편집하다: 아래 연간 설명에서 "생성" 및 "삭제"를 포함하지 않고 파일 수정 사항만 확인하려는 경우 해당 특정 정책 규칙을 해석하는 데 의미론적 문제가 있을 수 있습니다(예: 파일 생성 및 삭제). 파일은 논리적으로 "수정"된 것으로 간주될 수 있습니다. 확인해 보시면 좋을 것 같습니다. 그렇다면 아래의 첫 번째 속성 마스크는 잘못된 긍정을 제공할 수 있습니다. 즉, 생성 또는 삭제로 인해 플래그가 발생하더라도 파일 수정을 감지하게 됩니다. 계속 읽어주세요.
동시에 다음 속성이 마스크되어 있는지 확인합니다(첫 번째 줄에 제공된 참조에서 설명했듯이) 당신을 위해 만들어졌습니다:
/fully/qualified/path/to/object -> +m-i;
또는
/fully/qualified/path/to/object -> +M;
지침은 맨 페이지를 참조하십시오.
- m --- 타임스탬프 수정
- i --- 아이노드 번호
- M --- MD5 해시 값(파일 내용만 확인하고 권한 등은 확인하지 않음)
어디:
+"다음 속성을 기록하고 확인하십시오"를 의미합니다.
-"다음 속성을 무시합니다"를 의미합니다.
나는 당신이 이미 잘 알고 있다고 가정합니다.인덱스 노드. 그렇지 않다면첫 장당신의 친구입니까... 조금 실험해 볼 필요가 있을 수도 있습니다.
HTH.