Я пытаюсь исключить /var /log мониторинг, комментируя эту строку

 /var/run                          -> $(SEC_CONFIG) ;
#/var/log                          -> $(SEC_CONFIG) ;
#/etc/ioctl.save                   -> $(SEC_CONFIG) ;
 /etc/issue.net                    -> $(SEC_CONFIG) -i ; # Inode number changes
 /etc/issue                        -> $(SEC_CONFIG) ;

После совершения изменений 

tripwire --check --interactive

Когда я делаю изменения в /var /log и перезапускаю отчет, он все еще сообщает о колебании в /var /log

-------------------------------------------------------------------------------
Rule Name: System boot changes (/var/log)
Severity Level: 100
-------------------------------------------------------------------------------

Modified:
"/var/log/sa/sar06"

Всего нарушений найдено: 1

|источник

1 ответ1

0

Я понял:

tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt

Это помогло обновить опаленный файл политики и проверки исключил эту папку

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .