Nabend zusammen
Bin gerade dabei Tripwire auf meinem Debian System einzurichten und zu testen
Meine Frage ist wie ihr das Verzeichnis /proc überwacht.
Als Ganzes oder mit einzelnen Regeln für die Verzeichnisse /proc/* ?
In der Standardkonfiguration wird es mit einer Regel
/proc -> $(Device) ;
als Ganzes überwacht.
Dabei fällt jedoch auf, dass sich im /proc Verzeichniss einiges tut.
Das Ganze sieht dann ungefähr so aus.
Wobei * eine vierstellige Zahl (Verzeichnis) ist die von Report zu Report ansteigt.
Und die Verzeichnisse dann auch wieder entfernt werden.
Ungefähr so ...
....
Added object name: /proc/*
Added object name: /proc/*/root
Added object name: /proc/*/maps
Added object name: /proc/*/cwd
Added object name: /proc/*/mem
Added object name: /proc/*/fd
.....
Removed object name: /proc/*
Removed object name: /proc/*/root
Removed object name: /proc/*/maps
Removed object name: /proc/*/cwd
Removed object name: /proc/*/mem
Removed object name: /proc/*/fd
...
Ich sehe eigentlich keine andere Möglichkeit als lediglich die anderen konstanten Verzeichnisse (/proc/sys ...) mit Regeln zu erfassen und so die sich permanent ändernden Verzeichnisse außen vor zu lassen.
Interessieren würde mich weiterhin ob das Vorgehen sicherheitstechnisch okay ist bzw ob sich das swapping dieser Verzeichnisse abstellen läßt und wie es entsteht.
Tripwire und /proc
Re: Tripwire und /proc
ja, diese Vorgehensweise haben wahrscheinlich 100 % der Tripwire Anwender gewählt. Die "Standardkonfiguration" ist ja leider unbrauchbar, leider auch bei den anderen großen Distributionen. Ich habe damals nach einer brauchbaren Konfiguration fü das proc Verzeichnis im Internet gesucht, gefunden und adaptiert.-volcom- hat geschrieben: Ich sehe eigentlich keine andere Möglichkeit als lediglich die anderen konstanten Verzeichnisse (/proc/sys ...) mit Regeln zu erfassen und so die sich permanent ändernden Verzeichnisse außen vor zu lassen.
Dieses Verzeichnis ist ein virtuelles Filesystem. daß physich keine Platz auf der Festplatte benötigt. Alles unterhalb von /proc befindet sich im Speicher und wird direct vom Kernel verwaltet. Die meisten Dateien sind nur lesbar, es gibt aber unterhalb von /proc/sys auch Dateien, über die Einstellungen geändet werden können.-volcom- hat geschrieben: ob sich das swapping dieser Verzeichnisse abstellen läßt und wie es entsteht.
Eine grobe aber auch gute Erklärung der einzelnen Unterverzeichnisse findest du unter "man proc".
Gruß
gms