Мы используем Tripwire для наблюдения за сервером Ubuntu. Существует ежедневный отчет, который отправляется по почте администратору. В отчете ожидаются нарушения, например, добавление / удаление / изменение файла журнала. В конце отчета приведено общее количество нарушений. Можно ли сократить общее количество нарушений с одного дня на другой, даже если база данных не обновлялась? Например, в понедельник у нас было 90 полных нарушений, а во вторник, без обновления базы данных, количество нарушений сократилось до 83. При ближайшем рассмотрении некоторые файлы, которые были показаны как измененные в отчете за понедельник, не отображались в отчете за вторник, а также не были в удаленных файлах. Должны ли мы беспокоиться?

1 ответ1

0

Является ли это возможным? Конечно.

На основе аналогичных продуктов (AIDE, Integrit) существует некоторая конфигурируемость в отношении того, что проверяется. (Я использовал те продукты, которые описали свой файл конфигурации как похожий на Tripwire, так что, скорее всего, они работают аналогично). Если даты не проверяются, а изменения, которые проверяются, отменяются, то счетчик может уменьшиться.

Например, если разрешения проверены, и однажды файл переключен на «только для чтения», это может быть помечено как изменение. Если это вызвало проблему для конечного пользователя, который пожаловался, то изменение могло быть отменено. В следующем отчете не будет замечено изменение разрешений.

Я не ожидал бы, что это случится много. Если бы это произошло вообще, это было бы, вероятно, меньшинство обновлений. Фактически вы сообщаете только о 7 изменениях из 90. Похоже, что это вполне правдоподобно.

Теперь, относительно того, действительно ли это именно то, что произошло в вашем случае, мы можем быть не в состоянии ответить на этот вопрос без более подробной информации (например, просто о том, какова ваша конфигурация и о каких нарушениях сообщается). Совместное использование таких деталей может включать или не включать обмен информацией, которой не следует делиться. Отчасти это может зависеть от того, насколько конфиденциальной является информация. Однако, если вы хотите более точные детали, это может быть необходимо.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .