Tripwire хранит снимок текущей файловой системы и сообщает о любых изменениях. Файлы конфигурации и базы данных tripwire хранятся в зашифрованном виде.
Установка tripwire в Linux Ubuntu/Debian:
apt-get install tripwire
Во время установки создадим пароль ключа узла и локального ключа.
База данных хранится в директории /var/lib/tripwire/имяхоста.twd
Изменить параметры автозапуска можно в файле /etc/cron.daily/tripwire
Редактируем конфиг /etc/tripwire/twcfg.txt и файл политик /etc/tripwire/twpol.txt
Применяем изменения в файле политик:
sudo tripwire --update-policy /etc/tripwire/twpol.txt
Пример команд для генерации базы данных снимка файловой системы:
sudo tripwire --init sudo tripwire -m i
Пример команд для запуска проверки:
sudo tripwire --check sudo tripwire -m c
Отчет будет выведен на экран и сохранен по адресу /var/lib/tripwire/report/имяхоста-дата-время.twr
Пример команды для просмотра отчета:
sudo twprint --print-report -r /var/lib/tripwire/report/имяхоста-дата-время.twr | less
Обновление базы данных снимка файловой системы исходя из отчета:
sudo tripwire -m u -a -r /var/lib/tripwire/report/имяхоста-дата-время.twr
Проверяем приходит ли почта:
tripwire --test --email test@example.net
Просмотр документации:
man tripwire tripwire --help all