【為什麼要安裝 tripwire】
在安裝完 Linux，做好設定後，建議你馬上安裝 tripwire 這套軟體，它能把檔案的特徵，如物件大小、擁有者、群組、存取權限等建立成指紋資料庫(fingerprints)，並定期執行檢查。當發現檔案現況與指紋資料庫不符合時，tripwire 會提出警告，告知你哪些項目與指紋資料庫不符。
【安裝程序】
1. 安裝套件：rpm -Uvh tripwire-版本號碼.rpm
2. 切換工作目錄到 /etc/tripwire，其中有兩個設定檔：
  - twcfg.txt:可用來設定 tripwire 的工作環境，可依照你的習慣來調整，
  - twpol.txt：指定 tripwire 對哪些檔案的哪些項目進行監控。
3. 附圖為預設的 twcfg.txt 其中
  - DBFILE 為指紋資料庫之檔名。
  - REPORTFILE 為檢測報告檔之檔名。
4. 再來看看 twpol.txt，我們可以設定它來指定 tripwire 對哪些檔案的哪些項目進行監控。tripwire 可監控的項目可在 twpolicy 的 man page 中，『property masks』一節內找到，如附圖所示：其中『+』與『-』容後說明。
5. 如何要求 tripwire 監控某些檔案呢？Red Hat 所附的 twpol.txt 已把重要的設定檔與程式列入監控的範圍，你可以找到如附圖內的這一段：這一段把 /etc/group 以及 /etc/security 這兩個物件納入『Security Control』這一組，警戒程度為由 SIG_HI 這個變數定義，值為 100(稍後會介紹)。而 tripwire 會監控 /etc/group 及 /etc/security 的哪些項目呢？則由 SEC_CRIT 這個變數來定義。
6. 從 twpol.txt 的前端往後瀏覽，可以找到如附圖的這一段：你可以發現 SIG_HI 的值就如上一點所提的，為 100。而 tripwire 會監控 /etc/group 的哪些項目是由 SEC_CRIT 所定義；在此處你發現 SEC_CRIT 等於『$(IgnoreNone)-SHa』，究竟是哪些項目？
  要解開這個謎，必須先找出 IgnoreNone 的變數究竟定義為何。但找遍 twpol.txt 還是解不開，原來 IgnoreNone 跟附圖中的 ReadOnly, Dynamic, Growing 等均為 tripwire 預先定義好的變數，在 twpolicy 的 man page 中『Variables』一節內可以找到如附圖的內容：
  從上圖中得知『IgnoreNone』的值為『+pinugtsdrbamcCMSH-l』，其中『+』後所列的是要監控的項目，而『-』後所列的則為不監控的項目。那麼『$(IgnoreNone)-SHa』呢？就是把 IgnoreNone 內原本列入監控的 SHa 項目改列為不監控。
  你可以按照需求來修改這個檔案
  (註：筆者的習慣是把 SEC_BIN 與 SEC_CONFIG 的定義改成與 SEC_CRIT 相同)。
7. 接著在在 /etc/tripwire 內執行 ./twinstall.sh。執行過程中會要求你設定兩個密碼(pass phrase)：
  - site pass phrase ：加密 twpol.txt 及 twcfg.txt 時用。
  - local pass phrase：加密指紋資料庫時用。
  之後會再要你輸入正確的 site pass phrase，此時會對 twpol.txt 及 twcfg.txt 分別進行加密處理，由原始文字檔產生 tw.pol 及 tw.cfg。過程如附圖所示：在 twinstall.sh 執行完畢後，建議把 twpol.txt 及 twcfg.txt 這兩個文字檔刪除或移至別處。
8. 執行 tripwire -m i 來建立指紋資料庫，它會要求你輸入 local pass phase。
9. 或許你懷疑 tripwire 真的能偵測出檔案最細微的改變嗎？以下來做個實驗，我們把 /etc/group 中第一行第二個欄位的『x』改成『X』：
10. 接下來執行『tripwire -m c --interactive』進行檢查，最後出現報告清單 (內定使用 vi)，有：
  - 『Rule Summary』：列出所有組別的檢查結果。有兩組有異動，一為 tripwire 的資料檔(新增)，另一為『System Control』這一組(/etc/group 屬於這一組!)。
  - 『Object Summary』：列出有異動的物件清單。 /etc/group 被發現有異動了。如果要把指紋資料庫內 /etc/group 的資料更新為目前的狀態，請保留 /etc/group 前方 [ ] 內的 x，否則把它改為空格。
  - 『Object Detail』：異動物件的詳細資訊，如哪些項目有異動等。雖然僅僅是把 x 改成 X，但有四個項目受到影響。其中最重要的是 MD5 的值。一個檔案的 MD5 值只要跟原先的值不一樣，就可以斷定檔案的內容已被修改過。
  - tripwire 每日均會自動執行檢查，並寄 e-mail 給 root 告知結果。你也應定期執行『tripwire -m c --interactive』來更新指紋資料庫。

驕傲只啟爭競；
聽勸言的，卻有智慧。
箴言一三：10