적절한 Tripwire 정책을 가지고 있습니다.

적절한 Tripwire 정책을 가지고 있습니다.

몇 년 전 저는 몇 대의 서버에 Tripwire를 설치하고 배포 시 제공되는 기본 정책 파일로 시작했습니다. 존재하지 않는 파일에 대한 참조가 많이 있고(관련 패키지가 설치되지 않았기 때문에) 포함되어야 한다고 생각했지만 포함되지 않은 파일이 많이 있으며 의심할 여지 없이 포함된 파일이 많이 있습니다. 그것이 포함되어야 한다고 생각하지 않았습니다. 전체적으로 그것은 고통스러운 경험이었고 나는 그것에서 최선을 다했다고 생각하지 않습니다.

빛나는 새 서버가 메일에 나타나는 것은 10년 중 그 시기이며, 나는 이번에는 더 잘할 계획입니다. 그래서 저는 이렇게 했습니다:

Strict = $(IgnoreNone) -ar;

!/home;
!/proc;
!/run;
!/sys;
!/tmp;

/                                               -> $(Strict) (recurse=true);
/boot                                           -> $(Strict) (recurse=true);
/boot/efi                                       -> $(Strict) (recurse=true);
/dev                                            -> $(Device) (recurse=true);
/dev/hugepages                                  -> $(Device) (recurse=true);
/dev/mqueue                                     -> $(Device) (recurse=true);
/dev/pts                                        -> $(Device) (recurse=true);
/dev/shm                                        -> $(Device) (recurse=true);
/var/lib/tripwire/$(HOSTNAME).twd               -> $(Dynamic) -i;
/var/lib/tripwire/report                        -> $(Dynamic) (recurse=0);
/var/log                                        -> $(Growing) -i (recurse=true);

내 기대는 앞으로 며칠/주 동안 완전히 무해한 변경 사항에 대한 많은 경고를 받게 되지만 정책 파일을 적절하게 검토하고 수정할 수 있다는 것입니다. 머지않아 나는 합리적인 정책을 갖게 될 것이다.

내가 완전히 미친 걸까, 아니면 이것이 합리적인 출발점인가?

관련 정보