Több program is adatott GNU/Linux rendszeren, amellyel ellenőrizni tudjuk a rendszerünk épségét. A különböző programok különböző módszereket használnak fel, hogy kimutassák az illetéktelen behatolók nyomati.

A Tripwire azon csoportba tartozik, amelynek tagjai nem foglalkoznak a rendszer biztonságával, csak is a könyvtárak és a fájlok integritását ellenőrzik, digitális ujjlenyomatot (checksum-ot, ellenőrző kódot) számolnak a kijelölt fájlokra.

A program telepítését még szűz gépen célszerű elvégezni (például telepítés után). Az ellenőrző kódokat tartalmazó adatbázist erőssen ajánlott csak olvasható adathordozóra tenni, hogy egy esetleges behatolás esetén ne tudják módosítani. A telepítés után a /etc/tripwire/twpol.txt policy fájlban tudjuk beállítani az ellenőrizendő fájlokat és a megfigyelés módját.

Ha végeztünk a policy beállításával, akkor frissítsük a policy adatbázist. Amíg ezt nem tesszük meg, a Tripwire nem veszi tudomásul a policy megváltozását.

Ezután a policy adatbázis alapján hozzuk létre az ellenőrzésre szolgáló adatbázist:

Ha biztosak vagyunk benne, hogy a változásokat mi idéztük elő, akkor célszerű frissíteni az adatbázist a naplófájl alapján, hogy az újabb módosításokat már a megváltozott állapothoz képest figyelje. Az adatbázis frissítését az alábbi a paranccsal tehetjük meg:

Ha a policyban végzük módosításokat, akkor szintén ajánlatos frissíteni az adatbázist a policy adatbázis frissítése után:

Ezzel a módszerrel nem gördítünk akadályokat a behatolni vágyók elé, de ha körültekintően jártunk el, akkor nagy valószínűséggel tudni fogunk róla, ha behatoltak a rendszerbe. Főleg, ha beállítjuk az e-mail-ban történő értesítést a /etc/tripwire/twcfg.txt fájlban: