# cd /usr/local/etc

# ll

drwxr-xr-x  2 root root  4096 2012-10-13 20:50 ./

drwxr-xr-x 13 root root  4096 2012-10-12 17:16 ../

-rw-r-----  1 root root   931 2012-10-12 17:17 noi-linux-local.key

-rw-r-----  1 root root   931 2012-10-12 17:17 site.key

-rw-------  1 tss  tss   6421 2012-09-27 15:39 tcsd.conf

-rw-r-----  1 root root  4586 2012-10-13 20:39 tw.cfg

-rw-r-----  1 root root   508 2012-10-13 18:47 twcfg.txt

-rw-r-----  1 root root  4159 2012-10-13 18:51 tw.pol

-rw-r-----  1 root root 13703 2012-10-13 18:50 twpol.txt

 

tw.cfg为配置文件，tw.pol为策略文件。

首先编辑twcfg.txt和twpol.txt文件，也可以自己写txt文件代替原有策略文件，

然后使用如下命令#twadmin --create-cfgfile --cfgfile tw.cfg --site-keyfile site.key twcfg.txt

和                        #twadmin --create-polfile --polfile tw.pol --site-keyfile site.key twpol.txt

重新生成tw.cfg和tw.pol文件，重新生成需要site密码。

 

然后可以初始化了：

#tripwire --init

需要local密码，

 

Please enter your local passphrase: 

Parsing policy file: /usr/local/etc/tw.pol

Generating the database...

*** Processing Unix File System ***

Wrote database file: /usr/local/lib/tripwire/noi-linux.twd

The database was successfully generated.

 

可见数据库文件位置为/usr/local/lib/tripwire/noi-linux.twd

完整性报告位置/usr/local/lib/tripwire/report/

 

现在可以测试一下tripwire了：

我们在/home文件夹建立一个test文件夹测试，在/usr/local/etc/文件夹下新建一个策略txt文件，如newpol.txt，在这个文件里写入检查test文件的命令，

# Test File

( 

   rulename = "Test File",

)

{

   /home/test -> $(IgnoreNone);

}

 

写入新策略：

#twadmin --create-polfile -S site.key newpol.txt

查看是否写入：

#twadmin --print-polfile

重新初始化数据库：

#tripwire --init

扫描文件系统：

#tripwire -m c

更新数据库：

#export LANG=C; tripwire --update --twrfile /usr/local/lib/tripwire/noi-linux.twr

会打开vi编辑器，将能接受的更新前的"x"删除，然后输入:wq保存，输入local密码，退出。

再次扫描:

#tripwire -m c

发现刚才数据库更改后的部分不再报告。

 

参考文献：