База данных Tripewire и PTS для удаленного сервера
Я устал от лжи, положительной вызван сканированиями Растяжки, находя, что/dev/pts/0 был удален.
Это соединение создается для моей сессии SSH, когда я удаленно управляю системой и обновляю базу данных Tripwire. Около использования сценария оболочки как следующее:
$ sleep 30
$ nohup tripwire --init 2>&1 >nohup.out
... который восстанавливает и уничтожает базу данных и теряет историю.
У кого-либо есть решение для Растяжки для игнорирования моего собственного/dev/pts при выполнении - проверке - интерактивный?
Tim
1 ответ
OP не имел никакого действия за почти год, но здесь - как разрешить, что проблема (если я понял это правильно):
Это взято от Justin Ellingwood : в Вашем twpol.txt файл в категории "Device and kernel information", Вы найдете раздел:
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
/proc -> $(Device) ;
}
Вы, вероятно, хотите прокомментировать /proc, который дает Вам много ложных положительных сторон, включайте вместо этого выбор объектов, которые Вы найдете под /proc/ на Вашем поле И добавите
/dev/pts -> $(Device) ;
, Растяжка не проверит, что местоположение по умолчанию, потому что этому говорят проверить/dev и/dev/pts, находится в отдельной файловой системе, которую это не введет, если не указано. Чтобы заставить растяжку проверять это также, можно явно назвать его.
HTH.