Установка и настройка Tripwire

tripwire ids

30.09.2013

Tripwire хранит снимок текущей файловой системы и сообщает о любых изменениях. Файлы конфигурации и базы данных tripwire хранятся в зашифрованном виде.

Установка tripwire в Linux Ubuntu/Debian:

apt-get install tripwire

Во время установки создадим пароль ключа узла и локального ключа.

База данных хранится в директории /var/lib/tripwire/имяхоста.twd

Изменить параметры автозапуска можно в файле /etc/cron.daily/tripwire

Редактируем конфиг /etc/tripwire/twcfg.txt и файл политик /etc/tripwire/twpol.txt

Применяем изменения в файле политик:

sudo tripwire --update-policy /etc/tripwire/twpol.txt

Пример команд для генерации базы данных снимка файловой системы:

|sudo tripwire -m i sudo tripwire --init| |------------------------------------------|

Пример команд для запуска проверки:

|sudo tripwire -m c sudo tripwire --check| |-------------------------------------------|

Отчет будет выведен на экран и сохранен по адресу /var/lib/tripwire/report/имяхоста-дата-время.twr

Пример команды для просмотра отчета:

sudo twprint --print-report -r /var/lib/tripwire/report/имяхоста-дата-время.twr | less

Обновление базы данных снимка файловой системы исходя из отчета:

sudo tripwire -m u -a -r /var/lib/tripwire/report/имяхоста-дата-время.twr

Проверяем приходит ли почта:

tripwire --test --email test@example.net

Просмотр документации:

|tripwire --help all man tripwire| |-----------------------------------|