Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.
Запуск Tripwire в интерактивном режиме проверки.
В “Интерактивном режиме проверки” Tripwire проверяет файлы и каталоги, выясняя какие были добавлены, удалены или изменены, сравнивая их со своей базой данных, а затем спрашивает у администратора, какие элементы базы данных должны быть обновлены. Это наиболее удобный путь поддерживать базу данных в актуальном состоянии, но он требует наличия администратора за консолью. Если вы хотите использовать этот режим, то следуйте шагам приведенным ниже.
Шаг 1.
Tripwire должна иметь базу данных, сравнивая с которой в дальнейшем файловую систему она сможет определить изменения. Первым нашим действием будет создание файла, называемого “tw.db_[hostname]” в каталоге, который вы определили для хранения базы данных ([hostname] будет заменен на имя вашей машины).
Для создания информационной базы данных Tripwire, используйте команду:
[root@deep /]# cd /var/spool/tripwire/
[root@deep tripwire]# /usr/sbin/tripwire --initialize
Мы переходим в каталог, который определили для хранения баз данных, и затем создаем информационную базу данных, которая используется для всех последующих проверок целостности.
Шаг 2
Так как файл с информационной базой данных Tripwire был создан, мы можем сейчас запустить Tripwire в “Интерактивном режиме проверки”. Этот режим будет запрашивать пользователя относительно того, действительно ли каждый измененный элемент системы должен быть обновлен в базе данных.
Для запуска Интерактивного режима проверки используйте команду:
[root@deep /]# cd /var/spool/tripwire/database/
[root@deep database]# cp tw.db_myserverhostname /var/spool/tripwire/
[root@deep database]# cd ..
[root@deep tripwire]# /usr/sbin/tripwire --interactive
Tripwire(tm) ASR (Academic Source Release) 1.3.1
File Integrity Assessment Software
(c) 1992, Purdue Research Foundation, (c) 1997, 1999 Tripwire