基于tripwire IDS的服务器自动更新

Question

我有一个ubuntu服务器与每周自动更新/升级和绊脚线安装。

问题是，自动更新使tripwire变得毫无用处，因为更改总是发生在我的服务器上。因此，我经常被绊线标记为违规行为。

如果有任何恶意的变化，我会想念他们。

在这种情况下，最佳做法是什么？是否有一种自动更新和有用的绊线报告的方法？人们通常是如何将两者结合起来的？

Answer 1

我很久没有使用绊线了，但从概念上说：

您可以选择将tripwire报告限制为只对*/bin/、*/sbin/和*/lib/目录中丢失和新创建的文件发出警告/报告，而不是比较这些目录中文件的校验和。

然后使用包管理器报告包的完整性，如这个问题中所解释的，它应该检测二进制文件何时被替换，或者当包管理器被用于用不受信任的包替换现有包时。

诚然，尽管这篇文章解释了如何在Debian和Ubuntu上强制执行和验证签名包，但RPM格式在要求签名包方面似乎要强一些。