このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

tripwireの通知レポート このメッセージに返信する
日時: 2015/07/16(Thu) 15:45
名前: Taro_Shira
URL:
お世話になります。

Tripwireについて質問があります。

Tripwireによるチェックさせるシェルスクリプトを/root配下に作成し、cronで定期実行しています。
ところが、/root配下に更新されたファイルが1件もないのに、毎回以下の通知アラートが来ています。

------------------------------------------------------------------------
 :
Rule Name Severity Level Added Removed Modified

Login Scripts 100 0 0 0
* Root config files 100 0 0 1
Backup Managemnt 100 0 0 0
Tomcat Managemnt 100 0 0 0
 :
Rule Name: Root config files (/root)
 :
Modified Objects: 1
Modified object name: /root
 :
* Modify Time Thu Jul 14 02:00:21 2015 Fri Jul 15 02:00:02 2015
 :
------------------------------------------------------------------------
なぜか、ファイルでなくディレクトリなのかなと疑問に思います。

/root配下でls -laのコマンドを行うと以下の通りになります。

----------
total XX
dr-xr-x---. 7 root root 4096 Jul 15 02:00 .  ←※
drwxr-xr-x. 10 root root 4096 Jul 12 10:12 ..
 :
----------
※カレントディレクトリの更新日時が通知レポートの時刻と同様です。
カレントディレクトリが更新されているということは何が起きているのでしょうか?

# vi /root/bin/tripwire-check
-------------------------------------
!/bin/sh

HOST_NAME=`uname -n`
if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then
echo "**** Error: Tripwire database for ${HOST_NAME} not found. ****"
echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****"
else
test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check -M
fi
-------------------------------------

# crontab -e
0 2 * * * /root/bin/tripwire-check


※twpol.txtは以下の通り以外は変更していません。
!/var/log ; #毎日ログが出力されるため。

お手数ですが、ご教授よろしくお願いいたします。
記事編集 編集
Re: tripwireの通知レポート このメッセージに返信する
日時: 2015/07/16(Thu) 17:13
名前: 通りすがり
URL:
カレントディレクトリが更新されているということは何が起きているのでしょうか?
.  ←※ですが
ためしてみますと
何かしらシェルを実行すると日時が更新されますね。

dr-xr-x---. 12 root root 4096 7月 15 16:08 .
dr-xr-xr-x. 17 root root 4096 7月 16 03:41 ..

# vi deny_ip

dr-xr-x---. 12 root root 4096 7月 16 16:59 .

別にrootディレクトリにかぎったことではないと思いますけどね。
さて、上記の件から変な話なんですが、
tripwire自身が動いて自分自身が怪しいと報告してるのかな?
とおもいます

>なぜか、ファイルでなくディレクトリなのかなと疑問に思います。

tripwireってディレクトリもファイルも前のデータとくらべて更新があった場合検地するんじゃ
ありませんでしたっけ?
記事編集 編集
Re: tripwireの通知レポート このメッセージに返信する
日時: 2015/07/16(Thu) 17:48
名前: stranger
URL: http://ja.528p.com/
twpol.txtでRoot config filesの部分をみれば
/rootを検査するのがわかります
tripwire-checkをrootではなく/usr/sbinなどにおけば良いのでは?

私的にはソースからmakeして
contrib/tripwire-check を /etc/cron.dailyに直接入れています
CentOS6.xならば
cronの入替え(cronie-anacron → cronie-noanacron)
で定時(4am)の実行になります
追加される/etc/cron.d/dailyjobsで定時(4am)の実行を制御します
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -