tripwire 是常用的文件安全审计工具,它生成每个要监视文件的指纹,如果文件被改动或发生变化,我们就会知道,这是一个非常好的安全检测工具。
目前sourceforge上的新版本是2.14 ,跟我两年前用的旧版有写差距,好像不再需要stlport?不是很确定这点。
wget
bunzip2 tripwire-2.4.1.2-src.tar.bz2
tar -xvf tripwire-2.4.1.2-src.tar
cd tripwire-2.4.1.2-src
./configure
make
make install
中间会问global和local密码,要记住啊。安装后配置文件都在 /usr/local/etc下。
cd /usr/local/etc/
vi twcfg.txt
修改这个文件,去掉不必要的监控目录和文件,并在将你要监控的目录加入,比如www目录。
twadmin -m P twpol.txt
上面这个命令生成新的配置文件 twpol.cfg
tripwire -m i -v
初始化指纹库,如果监控目录多的话,会有一点慢。
tripwire -m c -v /bin/ls 生成库后,就可以核对了, 这一行是核对/bin/ls 文件
tripwire -m c -v -l 100 这一行命令是检查危害程度大于100的文件。
具体的配置资料和使用方法还是查文档!