Tripwire

當Tripwire運行在數據庫生成模式時，會根據管理員設置的一個配置文件對指定要監控的文件進行讀取，對每個文件生成相應數字簽名，並將這些結果保存在自己的數據庫中，在缺省狀態下，MD5和SNCFRN(Xerox的安全哈希函數)加密手段被結合用來生成文件的數字簽名。除此以外，管理員還可使用 MD4，CRC32，SHA等哈希函數，但實際上，使用上述兩種哈希函數的可靠性已相當高了，而且結合MD5和sncfrn兩種算法(尤其是 sncfrn)對系統資源的耗費已較大，所以在使用時可根據文件的重要性做取捨。當懷疑係統被入侵時，可由Tripwire根據先前生成的，數據庫文件來做一次數字簽名的對照，如果文件被替換，則與Tripwire數據庫內相應數字簽名不匹配，這時Tripwire會報告相應文件被更動，管理員就明白系統不"乾淨"了。

1997年是一個轉折，美國出現了一家叫Tripwire的公司，基於tripwire自由軟件的特性進行企業IT 安全與審計領域的研究，其推出的Tripwire Enterprise企業級產品是一個突破,逐漸成為數據中心合規性和基礎設施管理解決方案領域的領先企業，致力於重建虛擬和有形基礎設施領域的IT安全信心。Tripwire Enterprise和vWire軟件幫助全球6,500多家企業實現IT運營、安全性及合規性所需的配置審計、文件完整性監測、虛擬基礎設施管理和變更審計性能。Tripwire總部位於俄勒岡州波特蘭市，下設辦事處遍及全球。

2008年之後，Tripwire公司發展了Tripwire VIA的理念(IT架構的可見性，完整性和控制性),通過Tripwire Enterprise和Tripwire Log & Event Center manager兩個組合來實現。

Tripwire支持絕大多數Unix操作系統，它的安裝需要編譯環境，如gcc，cc等，還需要gzip，gunzip等解壓工具。這些工具管理員可從相應站點獲取，這裏不討論。到它的主頁download部分，可以看到當前可免費 download的Tripwire1.3 ASR版本，下載下來就是。

使用Tripwire和aide等檢測工具能夠及時地幫助你發現攻擊者的入侵，它們能夠很好地提供系統完整性的檢查。這類工具不同於其它的入侵檢測工具，它們不是通過所謂的攻擊特徵碼來檢測入侵行為，而是監視和檢查系統發生的變化。

當服務器遭到黑客攻擊時，在多數情況下，黑客可能對系統文件等等一些重要的文件進行修改。對此，我們用Tripwire建立數據完整性監測系統。雖然 它不能抵禦黑客攻擊以及黑客對一些重要文件的修改，但是可以監測文件是否被修改過以及哪些文件被修改過，從而在被攻擊後有的放矢的策劃出解決辦法。 ^[1] 

Tripwire的原理是Tripwire被安裝、配置後，將當前的系統數據狀態建立成數據庫，隨着文件的添加、刪除和修改等等變化，通過系統數據現 狀與不斷更新的數據庫進行比較，來判定哪些文件被添加、刪除和修改過。正因為初始的數據庫是在Tripwire本體被安裝、配置後建立的原因，我們務必應 該在服務器開放前，或者説操作系統剛被安裝後用Tripwire構建數據完整性監測系統。 ^[1] 

有一點要注意，上述保障機制的重點在於數據庫內的數字簽名，如果數據庫是不可靠的，則一切工作都喪失意義。所以在Tripwire生成數據庫後，這個庫文件的安全極為重要。比較常見的做法是將數據庫文件， Tripwire二進制文件，配置文件單獨保留到"可拿走並鎖起來"的質上，如軟盤，將上述文件複製到軟盤後，關閉寫保護口，鎖到保險櫃中。除軟盤外，一次性介質，如cd-r也是很好的選擇，這樣即使侵入者拿到盤也無計可施。除這種辦法外，利用PGP等加密工具對上述關鍵文件進行數字簽名也是一個很好的選擇。

當然，當管理員自身對某些文件更動時， Tripwire的數據庫必然是需要隨之更新的， Tripwire考慮到了這一點，它有四種工作模式：數據庫生成，完整性檢查，數據庫更新。交互更新。當管理員更動文件後，可運行數據庫更新模式來產生新的數據庫文件。