День рождения первого релиза самой первой системы обнаружения атак Tripwire

  Tripwire отслеживает изменения файлов, позволяя обнаруживать порчу данных и взломы. База данных шифруется (El Gamal, 1024 бита), что предотвращает ее подделку хакерами. С помощью редактируемого набора правил проверки пытается решить проблему с выдачей слишком большого числа предупреждений. Разработана в Purdue University в 1992, все права переданы Tripwire, Inc. Лицензия для специальной Linux-версии: GNU. Если фирма вдруг пойдет по пути SSH Inc., то есть аналоги - AIDE, TAMU, ATP, Hobgoblin, sXid, L5, Gog&Magog.

Непосредственно после установки ОС tripwire, используя правила, определенные политикой безопасности (policy file), создает базу данных, содержащую информацию о всех "существенных" файлах в системе - размер, контрольная сумма и т.д. Затем эта база данных ежедневно сравнивается с текущим состоянием файловой системы, позволяя обнаружить добавленные, измененные и удаленные файлы. Получаемые при этом отчеты могут быть просмотрены с различной степенью детализации.

Файлы конфигурации и полиси защищаются от записи общим ключом, а БД и отчеты - локальным ключом. Для чтения достаточно доступного публичного ключа, для записи требуется частный ключ, защищаемый парольной фразой. Обольщаться не надо - если уж взломщик получил права суперпользователя, необходимые для модификации БД, то он также может переустановить все файлы tripwire заново и вы будете получать по почте сообщения, что все в порядке, пока не обнаружите, что ваша парольная фраза не позволяет изменить БД или полиси.