Краткое введение в то как использовать Tripwire.

Установка пакета

Нашел rpm-ку, например, tripwire.src.rpm и поставил командой:
rpm -Uhv /пути/tripwire-{version}-{release}.src.rpm
При этом вызов "/usr/sbin/tripwire --check" автоматом прописывается в /etc/cron.daily/tripwire-check, таким образом, что теперь проверка целостности будет проводиться ежедневно часа в четыре.

Постинсталяционные настройки

Прочитал маны про то, из чего должны состоять файл конфигурации /etc/tripwire/twcfg.txt(man twconfig) и файл правил проверки /etc/tripwire/twpol.txt (man twpolicy). Процесс вникания в twpol.txt можно ускорить просмотром /usr/doc/tripwire-{version}-{release}/policyguide.txt, где все доступно и с примерчиками разжевано.
Далее скопируем twpol.txt в, к примеру, twpol.txt.template, а в сам twpol.txt внесем свои правила. Аналогично поступим с twcfg.txt. Запустим скрипт /etc/tripwire/twinstall.sh, который, и в том числе, генерит шифрованные и защищенные от изменений файлы /etc/tripwire/tw.cfg и /etc/tripwire/tw.pol.
Выполняем из командной строки инициализацию базы данных:
/usr/sbin/tripwire --init
Выполняем первую проверку базы данных tripwire c исходными файлами:
/usr/sbin/tripwire --check
В этот момент может вывалится куча ошибок и сообщений об отсутствии тех или иных файлов - не волнуйтесь, те кто собирал rpm-ку позаботились о том, что бы все важные файлы, которые только могут быть у вас установлены, оказались под надежным контролем tripwire. Ничего удивительного, что многих из этих файлов у вас нет.

Инициализация базы данных правил проверки

/usr/sbin/tripwire --init
Без слов.

Проверка целостности

Выполняем /usr/sbin/tripwire --check и ждем минут ндцать, пока tripwire проверит соответствие того, что у ней записано в базе с тем, что есть на самом деле, и создаст отчет.

Чтение отчетов

/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/{report}.twr | less - выдаст отчет на терминал. Так же стоит поизучать man twprint.

Обновление базы после проверки целостности

Tripwire после проверки целостности может обнаружить различные несоответствия между тем что должно быть на винте и тем, что там есть на момент последней проверки, и дело администратора - определить, являются ли данные несоответствия приемлимыми, т.е. на них не стоит в будующем обращать внимание, или же они являются нежелательными и на них внимание уделять стоит.

/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/{name}.twr
результатом этой команды будет отчет проверки в текстовом редакторе, где будут стоять '[x]' напротив изменений в подконтрольной части файловой системы. Оставим 'x' там, где можно, чтобы tripwire об этом больше не сигнализировала. Далее остается выйти из редактора сохранив изменения.
После этого tripware внесет изменения в свою базу и не будет больше беспокоить нас по поводу одобренных нами изменений