Tripwire是一款开放源码的完整性检查工具,Tripwire会对文件或目录状态生成唯一的标识(又称为 "快照"),并将其存放起来以备后用。当Tripwire程序运行时,与快照比较,如果发现不匹配的话,它就报告系统管理人员文件已经被修改。

通过对以上运行机制的了解我们不难发现,完整性检查工具的安装时机非常重要,最好是在交付用户使用和连入网络之前的Linux系统初装时进行。因为完整性检查工具只有保留了系统文件的初始状态(快照),才能确保系统文件的完整性;如果在系统使用一段时间后再取其快照的话,它很可能已经不再是原系统文件的映象(如已经遭到破坏),所以这时的完整性检测的可靠性已经打了折扣


实验环境

centos6.8_x64


实验软件

tripwire.x86_64 0:2.4.3.5-4.el6 


软件安装

yum install -y tripwire.x86_64


tripwire --version

Open Source Tripwire(R) 2.4.3.5.0 built for x86_64-redhat-linux-gnu


touch /etc/tripwire/tw.cfg

tripwire  --init                                   

tripwire --check  


ps -ef | grep tripwire

root      2381  2264  0 14:51 pts/0    00:00:00 grep tripwire