- PR -

tripwireのポリシーが反映されない

1
投稿者投稿内容
いちご
会議室デビュー日: 2007/06/28
投稿数: 12
お住まい・勤務地: 帝都
投稿日時: 2007-06-28 22:26
初投稿になります。どうぞよろしくお願いします。

tripwireを使って、ファイル改ざんを検出しようと思い、試験運用を続けながら、最適なポリシーの構築をしておりますが、最近、ポリシーで定めた監視対象外の内容についても監視が行われているケースがあり、混乱しております。

以下、ポリシー(抜粋)
#### clamav files ####
(
rulename = "clamAV files",
severity = $(SIG_HI),
recurse = true
)
{
/var/lib/clamav/ -> $(SEC_CRIT);
!/var/lib/clamav/main.cvd;
!/var/lib/clamav/daily.cvd;
/var/lib/clamav/daily.inc/ -> $(SEC_CRIT) -ismcbCM;
/var/lib/clamav/mirrors.dat -> $(SEC_CRIT) -mcCM;
}
#### org apps ####
(
rulename = "attack guard",
severity = $(SIG_HI),
recurse = true
)
{
/opt/atguardian/ -> $(SEC_CRIT);
/etc/opt/atguard/ext/ -> $(SEC_CRIT) -ismcbCM;
}

上記のように、設定しているにもかかわらず、
tripwire --check --email-reportを実行すると、以下の内容のメールが届きます。


Modified object name: /var/lib/clamav/mirrors.dat

Property: Expected Observed
------------- ----------- -----------
Object Type Regular File Regular File
Device Number 771 771
File Device Number 0 0
Inode Number 1969009 1969009
Mode -rw------- -rw-------
Num Links 1 1
UID clamav (46) clamav (46)
GID clamav (46) clamav (46)
Size 364 364
* Modify Time 2007ヌッ06キ・7ニ・04サ
はしもと
大ベテラン
会議室デビュー日: 2003/02/05
投稿数: 182
投稿日時: 2007-07-01 15:25
確か同一オブジェクトに複数のプロパティ指定は
出来ないのではないでしょうか。

recurse = true なので
/var/lib/clamav/ -> $(SEC_CRIT);

/var/lib/clamav/mirrors.dat -> $(SEC_CRIT);
と指定している事になり、その下の
/var/lib/clamav/mirrors.dat -> $(SEC_CRIT) -mcCM;
は無視されているのではないでしょうか。

これだと
/etc/opt/atguard/ext/defencedlist.xst
の方の説明がつかないのですが、
もし /etc/opt/atguard が /opt/atguardian のリンクなら
/opt/atguardian/ -> $(SEC_CRIT);

/etc/opt/atguard/ -> $(SEC_CRIT);
と指定しているのと同じ事なので
/etc/opt/atguard/ext/ -> $(SEC_CRIT) -ismcbCM;
は無視されると思うのですが。
いちご
会議室デビュー日: 2007/06/28
投稿数: 12
お住まい・勤務地: 帝都
投稿日時: 2007-07-03 23:52
はしもと様
ご回答ありがとうございました。
この数日、ご指摘を元に、同一オブジェクトを指定することがないように変更し、何度か検査を行ったところ、エラーが出なくなりました。
本当にありがとうございました!
ちなみに、
>もし /etc/opt/atguard が /opt/atguardian のリンクなら
仰るとおり、リンクになっていました・・・

ただ、そうすると解せないのが、
/var/lib/clamav/ -> $(SEC_CRIT);
!/var/lib/clamav/main.cvd;
!/var/lib/clamav/daily.cvd;
この部分です。
毎日、main.cvd,daily.cvdは更新されているはずなのですが、きちんと監視対象外になっているようです。
もしかして、監視対象外指定(!)は、親の設定を引き継がず、-cmなどの指定は、親の指定を引き継ぐという仕様になっているのでしょうか・・・
1

スキルアップ/キャリアアップ(JOB@IT)