Tripwire ist ein Intrusion Detection System, welches die Dateistruktur beobachtet und Veränderungen meldet. In den meisten Distributionen erstellt es seinen Report in dem Verzeichnis:

 /var/lib/tripwire/report/

Die Reports sind allerdings in einem Binärformat. Um sie zu lesen braucht man folgenden Befehl:

/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/<name>.twr

Da die Reports sehr lang werden können, am besten in ein Programm wie less pipen oder die Ausgabe in eine Datei umlenken.

/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/<name>.twr | less

oder

/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/<name>.twr > tw_report.txt
Tags: , , ,

Written by Tister | Author's Website