Tripwire是一款开放源码的完整性检查工具，Tripwire会对文件或目录状态生成唯一的标识（又称为 "快照"），并将其存放起来以备后用。当Tripwire程序运行时，与快照比较，如果发现不匹配的话，它就报告系统管理人员文件已经被修改。

通过对以上运行机制的了解我们不难发现，完整性检查工具的安装时机非常重要，最好是在交付用户使用和连入网络之前的Linux系统初装时进行。因为完整性检查工具只有保留了系统文件的初始状态（快照），才能确保系统文件的完整性；如果在系统使用一段时间后再取其快照的话，它很可能已经不再是原系统文件的映象（如已经遭到破坏），所以这时的完整性检测的可靠性已经打了折扣

实验环境

centos-5.8

实验软件

gcc gcc-c++ make wget

tripwire-2.4.2-src.tar.bz2

软件安装

yum install -y gcc gcc-c++ make wget

tar jxvf tripwire-2.4.2-src.tar.bz2

cd tripwire-2.4.2-src

./configure --prefix=/usr/local/tripwire

make

make install

Press ENTER to view the License Agreement.            q跳过

license agreement. [do not accept] accept             注册信息

Continue with installation? [y/n]  y

Enter the site keyfile passphrase:                    输入密码

Verify the site keyfile passphrase:                   二次确认

Enter the local keyfile passphrase:                   输入密码和第一次的一样

Verify the local keyfile passphrase:                                        

Please enter your site passphrase:                                            

这样tripwire就安装完毕了

配置

cd /usr/local/etc/

ll

total 44

-rw-r----- 1 root root   931 Nov 26 14:49 localhost.localdomain-local.key

-rw-r----- 1 root root   931 Nov 26 14:49 site.key

-rw-r----- 1 root root  4586 Nov 26 14:49 tw.cfg

-rw-r----- 1 root root   516 Nov 26 14:49 twcfg.txt

-rw-r----- 1 root root  4159 Nov 26 14:49 tw.pol

-rw-r----- 1 root root 13715 Nov 26 14:49 twpol.txt

twadmin   --create-cfgfile --cfgfile tw.cfg --site-keyfile site.key twcfg.txt

twadmin   --create-polfile –cfgfile tw.cfg --site-keyfile site.key twpol.txt

                                                   对这两个文件做签名处理

tripwire  --init                                    策略初始化

tripwire --check                                    初始化检查