Установка и настройка Tripwire

Tripwire хранит снимок текущей файловой системы и сообщает о любых изменениях. Файлы конфигурации и базы данных tripwire хранятся в зашифрованном виде.
Установка tripwire в Linux Ubuntu/Debian:

apt-get install tripwire

Во время установки создадим пароль ключа узла и локального ключа.
База данных хранится в директории /var/lib/tripwire/имяхоста.twd
Изменить параметры автозапуска можно в файле /etc/cron.daily/tripwire
Редактируем конфиг /etc/tripwire/twcfg.txt и файл политик /etc/tripwire/twpol.txt

Применяем изменения в файле политик: 

sudo tripwire --update-policy /etc/tripwire/twpol.txt

Пример команд для генерации базы данных снимка файловой системы: 

sudo tripwire -m i
sudo tripwire --init

Пример команд для запуска проверки: 

sudo tripwire -m c
sudo tripwire --check
Отчет будет выведен на экран и сохранен по адресу /var/lib/tripwire/report/имяхоста-дата-время.twr

Пример команды для просмотра отчета: 

sudo twprint --print-report -r /var/lib/tripwire/report/имяхоста-дата-время.twr | less

Обновление базы данных снимка файловой системы исходя из отчета: 

sudo tripwire -m u -a -r /var/lib/tripwire/report/имяхоста-дата-время.twr

Проверяем приходит ли почта: 

tripwire --test --email test@example.net

Просмотр документации: 

tripwire --help all
man tripwire

30.09.2013