配置Tripwire以处理自动日志轮转的正确方法是什么？

Question

我在一个新的ubuntu22.x服务器上安装了这个在线文档。我完全遵循上述文档，没有向cfg或pol文件中添加任何自定义mods。

此后不久，我收到了以下例外情况，我认为这是基本的日志轮转：

Rule Name: System boot changes (/var/log)
Severity Level: 100

Added:
"/var/log/syslog.3.gz"
"/var/log/mail.log.3.gz"
"/var/log/auth.log.3.gz"
"/var/log/kern.log.3.gz"

Modified:
"/var/log/auth.log"
"/var/log/auth.log.1"
"/var/log/auth.log.2.gz"
"/var/log/kern.log"
"/var/log/kern.log.1"
"/var/log/kern.log.2.gz"
"/var/log/mail.log"
"/var/log/mail.log.1"
"/var/log/mail.log.2.gz"
"/var/log/syslog"
"/var/log/syslog.1"
"/var/log/syslog.2.gz"

我的问题是，配置/策略绊脚线的正确方法是什么，以便日志轮转不会触发报告异常。日志旋转是大多数linux发行版都具有标准的基本功能，似乎并不是用来检测对关键组件(例如rootkit)的未经授权的更改的东西，而应该报告为严重性级100级异常。

Answer 1

在'rulename = "System boot changes",'更改下的tripwire策略配置文件(debian或ubuntu: /etc/tripwire/twpol.txt)中

`/var/log        -> $(SEC_CONFIG) ;`

至

`/var/log        -> $(IgnoreAll) ;`

将有效地忽略对日志文件的所有更改。

日志文件名必须仍然存在，但任何内容更改都将被忽略。正常的日志文件轮转名称交换一旦建立，就会被忽略。

但是，将报告任何新的或已删除的日志文件或目录名。在上面的示例中，仍然会报告Added条目，但Modified条目将被忽略。

出于安全考虑，我希望您也在对远程服务器进行系统管理。入侵者可以将这些本地日志文件截断为零大小，而tripwire将愉快地忽略它。

另外:不要忘记在修改txt文件以使其处于活动状态后执行sudo tripwire -m p -Z low /etc/tripwire/twpol.txt (或等效的)操作。