In questa esercitazione si invitano i partecipanti ad installare e testare tripwire sul proprio sistema:
1- Se non è già installato, installare Tripwire tramite RPM
2- Procedere alle operazioni di inizializzazione della baseline. Questa è una pratica che andrebbe fatta appena dopo l'installazione e l'upgrade iniziale di un sistema e prima di metterlo in rete.
3- Eseguire il check del sistema
4- Modificare il group owner di /bin/ls
o di altri file di sistema
5- Rieseguire il check del sistema e verificare le differenze individuate da Tripwire
Comandi necessari
1- rpm -iv tripwire.*.rpm
2- Seguire le indicazioni scritte nel capitolo: "Introduzione e installazione di Tripwire"
3- tripwire --check
4- chgrp nobody /bin/ls
5- tripwire --check
Overview sugli strumenti di intrusion detection e analisi del sistema