在系统中使用yum安装
yum -y install tripwire
配置文件在 /etc/tripwire/
使用: tripwire -m c 检查当前监控的文件中有没有改变
使用: tripwire -m c --interactive 更新本地的指纹数据库,需要输入local key 的密码,根据初始化时设置的密码
安装完tripwire之后,我们需要初始化tripwire数据库并确保没有错误,
使用下面命令初始化数据库
sudo tripwire --init
将被问到“local-key”密码短语,您可能会收到错误消息“no such directory”,如下所示。
得到的错误是因为系统没有在tripwire配置中已经定义的目录和文件,为了解决这个问题,我们需要编辑tripwire配置twpol.txt 并重新签署tripwire配置
sudo sh -c "tripwire --check | grep Filename > no-directory.txt"
所有不存在于CentOS 7系统上的目录和文件都列在文件'mo-directory.txt'中
使用以下bash脚本编辑tripwire配置'twpol.txt' - 在终端上运行此脚本。
for f in $(grep "Filename:" no-directory.txt | cut -f2 -d:); do sed -i "s|($f) |#\1|g" /etc/tripwire/twpol.txt done
我们需要使用twadmin命令重新生成并重新签署tripwire配置,如下所示
sudo twadmin -m P /etc/tripwire/twpol.txt
输入您的“网站密钥”密码。
重新初始化tripwire数据库,并确保没有错误。
sudo tripwire --init
重新初始化tripwire数据库,没有任何错误。
要验证tripwire配置,我们可以运行系统检查命令如下。
sudo tripwire --check
你应该得到类似于以下的结果。
所以这意味着在我们的系统上没有发现错误和系统违规。
现在我们将尝试在根目录下添加一个新文件,并使用tripwire再次检查。
cd ~/
touch hakase-labs.txt
现在使用tripwire命令再次检查系统。
sudo tripwire --check
您将在系统中得到严重程度为100的新违规的结果,如下所示。