开源Tripwire是一个免费的软件安全性和数据完整性工具，可用于监视和警告一系列系统上特定文件的更改。
开源Tripwire充当基于主机的入侵检测系统。

安装

安装Tripwire：

# yum install tripwire

配置

生成特定于系统的加密密钥文件：

# /usr/sbin/tripwire-setup-keyfiles

初始化Tripwire数据库文件：

# /usr/sbin/tripwire --init

Tripwire配置文件twcfg.txt

打开文件" /etc/tripwire/twcfg.txt"进行编辑，并根据需要进行修改。
下面列出了我们文件的内容，以供参考：

ROOT

=/usr/sbin
POLFILE

=/etc/tripwire/tw.pol
DBFILE

=/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE

=/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE

=/etc/tripwire/site.key
LOCALKEYFILE

=/etc/tripwire/$(HOSTNAME)-local.key
EDITOR

=/bin/vim
LATEPROMPTING

=false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS

=false
EMAILREPORTLEVEL

=3
REPORTLEVEL

=3
MAILMETHOD

=SENDMAIL
SYSLOGREPORTING

=false
MAILPROGRAM

=/usr/sbin/sendmail -oi -t
TEMPDIRECTORY

=/tmp
GLOBALEMAIL

[email protected]

Tripwire政策文件twpol.txt

打开文件" /etc/tripwire/twpol.txt"进行编辑，并进行配置以匹配安装了Tripwire的系统。
例如，如果您已安装Nginx，则可能要添加对/etc/nginx的监视，或者如果系统中不存在对Korn shell的/bin/ksh，则禁用完整性检查。

配置完成后，我们对要监视的文件和文件夹感到满意，我们需要通过重新创建Tripwire读取的加密策略文件来实施规则：

# twadmin -m P -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

重新初始化Tripwire数据库

我们必须重新初始化数据库以实施该策略：

# tripwire --init

最后，我们可以检查是否有违规行为：

# tripwire --check

Housekeeping

实际上，我们将删除纯文本策略和纯文本配置文件，因为我们不再需要它们：

# rm /etc/tripwire/tw*txt

如果以后必须重新生成纯文本策略文件，则将加密的文件传递给twadmin：

# twadmin --print-polfile > /etc/tripwire/twpol.txt

纯文本配置文件也是如此：

# twadmin --print-cfgfile > /etc/tripwire/twcfg.txt

需要注意的一件事是，Tripwire将不会识别任何配置更改，直到使用twadmin命令正确配置文本文件并将其转换为/etc/tripwire/tw.pol为止：

# twadmin --create-cfgfile -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

配置文件不会更改任何Tripwire政策，因此不需要重新生成Tripwire数据库。

Crontab

Tripwire应该自动添加到/etc/cron.daily /中。
如果不合适，我们可以删除配置并添加到crontab中，例如：

0 3 * * * /sbin/tripwire --check --email-report --silent --no-tty-output