После того, как Tripwire установлен и сконфигурирован на рабочей системе, надо произвести проверку целостности. Эту процедуру можно сделать как в автоматическом режиме, так и вручную. С помощью Tripwire можно изменить базу данных, если изменения в файловой системе произошли с разрешения (или были сделано осознано).

     Автоматическая проверка.

     После того, как была создана база данных, Tripwire готов к употреблению. Если он был установлен с RPM, то будет параллельно добавлена задача cron: Tripwire будет запускаться ежедневно. Если же он был установлен вручную, для автоматической ежедневной проверки нужно создать файл twcheck в /etc/cron.daily:

#!/bin/sh

HOST_NAME= 'uname -n'

if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ]; then echo "*** Error: Tripwire database for ${HOST_NAME} not fountd"

echo "*** Run "/etc/tripwire/twinstall.sh" and/or "tripwire —init." else

test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check fi

Далее...

     Игнорирование файлов и каталогов

     Tripwire сканирует только перечисленные в файле правил объекты, но иногда не надо производить мониторинг каких-то неважных файлов. Например, если был установлен /etc -> $ReadOnly, то будет производиться мониторинг каталога /etc, всех его файлов, всех подкаталогов и всех файлов в подкаталогах.

     Если не нужно производить мониторинг определенных файлов, их можно указать с помощью знака отрицания:

Далее...

Если крекер получит доступ к системе, то он попытается скрыть следы своего присутствия (конечно, если его цель - вандализм, то он просто разрушит эту систему). Известны случаи, когда хакер скрывал свое фигурирование в системе несколько лет.

     Лучший способ выявить крекера - это произвести мониторинг целостности системных файлов. Ведь в большинстве случаев крекер будет изменять какие-то файлы, а мониторинг поможет выявить это. Лучшими программами для этих целей являются Tripwire и Chkrootkit.

Далее...