Tripwireポリシーファイルはテキストファイルで、コメント、ルール、ディレクティブ、変数が記述されています。このファイルは、Tripwireがシステムをチェックする方法を指示します。 ポリシーファイル内の各ルールは、監視するオブジェクトを指定します。 また、オブジェクトに対する変更のうち報告するものと無視するものを指定します。
システムオブジェクトは、監視するファイルとディレクトリです。 各オブジェクトはオブジェクト名で識別されます。 プロパティは、Tripwireで監視可能なあるオブジェクトの1つの特徴です。 ディレクティブは、ポリシーファイル内の一連のルールの条件付き処理を制御します。 インストールの際、テキスト形式のポリシーファイル(/etc/tripwire/twpol.txt)は暗号化されて名前を変更され、実際のポリシーファイル(/etc/tripwire/tw.pol)となります。
最初の初期化では、Tripwireは署名済みポリシーファイルのルールを使用してデータベースファイル(/var/lib/tripwire/host_name.twd)を作成します。 このデータベースファイルが、既知の安全な状態における、システムの基準スナップショットです。 Tripwireは、この基準と現在のシステムを比較してどのような変更が発生したか判断します。 この比較は保全性チェックと呼ばれます。
保全性チェックを実行すると、/var/lib/tripwire/reportディレクトリにレポートファイルが作成されます。 レポートファイルには、保全性チェックでポリシーファイルルールに違反した、ファイルの変更がすべて記録されます。
設定ファイル(/etc/tripwire/tw.cfg)には、Tripwireデータファイルの場所など、システム固有の情報が保存されます。 必要な設定ファイル情報はTripwireのインストール時に生成されますが、システム管理者はその後いつでも設定ファイル内のパラメータを変更できます。 変更した設定ファイルは、デフォルトで使用されるようにするために、ポリシーファイルと同じ方法で署名する必要があります。
設定ファイルの変数POLFILE、DBFILE、 REPORTFILE、SITEKEYFILE、LOCALKEYFILEは、それぞれポリシーファイル、データベースファイル、レポートファイル、サイトキーファイル、ローカルキーファイルの場所を指定します。 これらの変数はインストール時にデフォルトで定義されます。 設定ファイルを編集した際にこれらの変数の1つでも未定義のままになっていると、Tripwireはその設定ファイルを無効とみなします。 この場合tripwireの実行にエラーが発生し、プログラムは終了します。
変更した設定ファイルがTripwireで使用されるようにするためには、ポリシーファイルと同じ方法で署名する必要があります。 設定ファイルの署名方法は、the section called 設定ファイルの署名を参照してください。