Tripwire

Tripwire ist ein Tool zur Überwachung der logischen Filesystemintegrität. Es kann Veränderungen an existierenden Dateien (sowohl Inodedaten als auch Dateinhalt), wachsende Dateien (Logfiles), verschwundene und neue Dateien erkennen. Damit ist Tripwire ein sehr wertvolles Tool zur Erkennung von Veränderungen die auf einen Systemeinbruch hindeuten. Zu finden ist es unter

http://www.visualcomputing.com/tripwire

Tripwire legt dazu nach einem Konfiguratiosnfile eine Datenbank mit dem aktuellen Zustand des Filesystems an und vergleicht diese dann auf Anforderung mit dem Ist-Zustand. Eventuelle Differenzen werden berichtet. Sehr wichtig beim Einsatz von Tripwire ist die Tatsache daß sich die Datenbank auf einem read-only medium befinden muß da sie sonst zu einfach von einem Angreifer manipuliert werden kann.