数年前、私はいくつかのサーバーにTripwireをインストールし、展開時に提供されるデフォルトのポリシーファイルから始めました。存在しないファイルへの参照がたくさんあり(関連パッケージがインストールされていないため)、含める必要があると思いましたが、含まれていないファイルがたくさんあり、間違いなく埋め込まれたファイルがたくさんあります。それを含めるべきだとは思わなかった。全体的にそれは痛みを伴う経験であり、私はそれで最善を尽くしたとは思わない。
輝く新しいサーバーがメールに表示されるのは10年の間です。私は今回はより良い計画です。だから私はこうしました:
Strict = $(IgnoreNone) -ar;
!/home;
!/proc;
!/run;
!/sys;
!/tmp;
/ -> $(Strict) (recurse=true);
/boot -> $(Strict) (recurse=true);
/boot/efi -> $(Strict) (recurse=true);
/dev -> $(Device) (recurse=true);
/dev/hugepages -> $(Device) (recurse=true);
/dev/mqueue -> $(Device) (recurse=true);
/dev/pts -> $(Device) (recurse=true);
/dev/shm -> $(Device) (recurse=true);
/var/lib/tripwire/$(HOSTNAME).twd -> $(Dynamic) -i;
/var/lib/tripwire/report -> $(Dynamic) (recurse=0);
/var/log -> $(Growing) -i (recurse=true);
私の期待は、今後数日/週間にわたって完全に無害な変更について多くの警告を受けますが、ポリシーファイルを適切に確認して修正できることです。すぐに、私は合理的な政策を持つでしょう。
私は完全にクレイジーか、それともこれが合理的な出発点ですか?