Hallo!
Mein Tripwire meldet:

Modified object name: /usr/sbin/httpd2

Property: Expected Observed
------------- ----------- -----------
* Modify Time Sun Jul 29 18:00:16 2007 Sun Aug 5 18:00:11 2007
* Change Time Sun Jul 29 18:00:16 2007 Sun Aug 5 18:00:11 2007

Ich habe aber keine Änderung vorgenommen. Last zeigt auch kein login an.
Wie ist sowas möglich?



update:
ich sehe gerade, im syslog steht:
Aug 5 18:01:08 server5 syslog-ng[3473]: new configuration initialized

ist das normal?

logrotate?

Und wie bekomme ich diese Meldung weg?

Modified object name: /usr/sbin/httpd2

Property: Expected Observed
------------- ----------- -----------
* Access Time Wed May 21 23:04:51 2008 Thu May 22 23:04:48 2008

und das bekomme ich auch nicht weg:

Rule Name: Critical configuration files (/etc/apache2)
Severity Level: 100
-------------------------------------------------------------------------------

Modified:
"/etc/apache2/vhosts.d"

================================================== =============================
Error Report:
================================================== =============================

No Errors

Wie sieht denn deine twpol.txt (oder wie deine PolicyDatei auch immer heissen mag) aus?

also, das gehört alles dazu meine ich:

@@section FS
SEC_CRIT = $(IgnoreNone)-SHa ; # Critical files that cannot change
SEC_SUID = $(IgnoreNone)-SHa ; # Binaries with the SUID or SGID flags set
SEC_SUID2 = $(IgnoreNone)-SH ; # Binaries with the SUID or SGID flags set


/etc/apache2 -> $(SEC_BIN) (recurse = 2) ;

(
rulename = "testrule",
severity = $(SIG_LOW),
)
{
/usr/sbin/httpd2 -> $(SEC_SUID2) ;
}