トリップワイヤーは/ procに入るべきですか？

Question

Tripwire --initを使用してデータベースを初期化すると、/ procに関連する一連のエラーが発生します。

### Warning: File system error. ### Filename: /proc/16982/fd/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/16982/fdinfo/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/16982/task/16982/fd/4 ### No such file or directory ### Continuing... ### Warning: File system error. ### Filename: /proc/16982/task/16982/fdinfo/4 ### No such file or directory ### Continuing... ### Warning: Duplicate object encountered. ### /proc/sys/net/ipv6/neigh

これはノイズのように感じます。 twpol.txtファイルには次の句があります。

# # Critical devices # ( rulename = "Devices & Kernel information", severity = $(SIG_HI), ) { /dev -> $(Device) ; /proc -> $(Device) ; }

これは、私が正しく理解していれば、tripwireが/ procの内容全体を深く気にする原因になります。 pidごとのものではなく、ドライバーなどの/ procの静的な部分だけを気にする必要はありませんか？なぜこのように出荷されるのですか？

leiflundgren · Accepted Answer

この投稿は LinuxQuestions で見つかりました。

Procの興味深い部分のみが検査されるように変更します

# /proc -> $(Device) ; /proc/sys -> $(Device) ; /proc/cpuinfo -> $(Device) ; /proc/modules -> $(Device) ;

LloydOliver · Answer

それだけ気になる場合は、ポリシーを変更して、フォルダをスキャンから除外することができます。

/ procを除外するには、次のようなものを追加できます。

 !/proc

ポリシーに合わせて、データベースを再構築します。