tripwire

Tripwire是一款开放源码的完整性检查工具，Tripwire会对文件或目录状态生成唯一的标识（又称为 "快照"），并将其存放起来以备后用。当Tripwire程序运行时，与快照比较，如果发现不匹配的话，它就报告系统管理人员文件已经被修改。

通过对以上运行机制的了解我们不难发现，完整性检查工具的安装时机非常重要，最好是在交付用户使用和连入网络之前的Linux系统初装时进行。因为完整性检查工具只有保留了系统文件的初始状态（快照），才能确保系统文件的完整性；如果在系统使用一段时间后再取其快照的话，它很可能已经不再是原系统文件的映象（如已经遭到破坏），所以这时的完整性检测的可靠性已经打了折扣

实验环境

centos6.8_x64

实验软件

tripwire.x86_64 0:2.4.3.5-4.el6 

软件安装

yum install -y tripwire.x86_64

tripwire --version

Open Source Tripwire(R) 2.4.3.5.0 built for x86_64-redhat-linux-gnu

touch /etc/tripwire/tw.cfg

tripwire  --init                                   

tripwire --check  

ps -ef | grep tripwire

root      2381  2264  0 14:51 pts/0    00:00:00 grep tripwire