使用Tripwire建立Linux文件系统完整性审查系统

提醒
tripwire也存在几个问题需要注意。问题主要集中在两个部分：方便性和缺陷。所谓方便性问题是基于tripwire报告长，很难阅读和分析这个事实，以及如果tripwire所审查的文件系统需要经常修改的话，就需要经常升级tripwire数据库。你需要仔细考虑如何根据自己的情况减少这方面的工作负担。
缺陷这个问题则主要是由于文件系统完整性审查是定期而非实时进行所导致。由于实时文件系统审查需要占用系统资源，明显降低系统性能，所以无法实时进行。这种周期性的检查就可能出现一种情况，在某次审查之后，你对文件系统进行了修改，然后在进行下次审查之前，有入侵者修改了文件系统，无论你使用什么完整性审查工具，当生成报告时，你很可能会将入侵报告误以为是自己行为导致的结果，而没有发现已经发生了不幸的事情。你应该认识到，tripwire和任何其他工具一样，不会永远正确。但是有tripwire确实是一种进步，要比不使用tripwire好得多。
除了这些问题，tripwire依然是一款非常出色的提高系统安全性的工具。市面上其他文件系统完整性审查工具还有Samhain和Aide。由于tripwire是行业标准，也是这些工具中最常用的。可以选择最适合需求的一款或者几款软件。尽管没有证据表明几个系统完整性审查工具一起使用可以带来额外的好处，但是您可以根据自己的情况进行选择。

tripwire设置
在系统中安装tripwire的方法决定权在您。主要的Linux发行版的软件知识库中一般都带有tripwire，你可以用软件管理器下载和安装tripwire 。例如，在Debian中，可以输入apt-get安装tripwire。另外也可以在SourceForge的开放源代码Tripwire项目页面上得到SourceForge。
安装方法也不尽相同。有的安装过程中就自动完成了对tripwire的设置。有些Linux发行版则为tripwire的设置脚本提供了前端系统配置工具。如果不是这种情况，或者你决定不使用系统指定的前端，也可以自己配置tripwire。
首先，需要以超级用户身份登录并进入/etc/tripwire目录，然后运行twinstall.sh脚本，然后使用--init启动数据库初始化模式下的tripwire。最后，删除/etc/tripwire目录下的twcfg.txt和 twpol.txt。这些命令前面都有#，如下所式：

# cd /etc/tripwire

# ./twinstall.sh

# tripwire --init

# rm twcfg.txt

# rm twpol.txt