sto usando tripwire come HIDS su debian sarge.
La directory /proc, che giustamente cambia di continuo ogni volta che viene riassegnato il PID ad un processo o che si apre un file, rompe le tasche nella generazione dei report e nel check di integrita'.

Ho impostato perciò di ignorare questa dir con la regola
!/proc;

secondo voi è giusto o dovevo fare diversamente ?


PS essendo l'argomento security piuttosto delicato vi chiederei di non improvvisare risposte se non siete certi oppure potete documentare con una fonte le vostre affermazioni.

hai fatto correttamente.... nel senso che subisce variazioni troppo repentine e irregolari, non so se si possa disciplinare in qualche modo. :D
probabilmente dovrai settare anche alcune regole per la /var/log, tipo la data ecc.
io uso AIDE, cmq sono similari.

ciao

hai fatto correttamente.... nel senso che subisce variazioni troppo repentine e irregolari, non so se si possa disciplinare in qualche modo. :D
probabilmente dovrai settare anche alcune regole per la /var/log, tipo la data ecc.
io uso AIDE, cmq sono similari.

ciao

grazie

/var/log ha impostata una severità minore di allarme.

il problema grosso di /proc era che dopo troppe differenze non riuscivo più ad aggiornare il DB con operazioni di routine e non capivo quando avevo spazzatura e quando no.