我认为设置一个标准是有道理的，不管它有多低。可以绕过 Tripwire 吗？当然。它会捕捉到你不会捕捉到的东西吗？是的，它会的。

我在 Tripwire 安装中看到的主要问题是将其调整到不会出现误报到忽略它的程度。如果每次有人更改其主目录中的某些内容时它就会爆炸，您将忽略它。如果每次您的网络用户更改您的网站时它都会爆炸，您会忽略它。如果每次有人升级软件包时它都会爆炸......你明白了。但是，如果你有一个很好的工作流程，它只在发生异常情况时抱怨，你就会关注它，这当然是有价值的。

Tripwires 对于防御用户级 rootkit非常有用。Kernelland rookits 不需要替换二进制文件来破坏系统的行为，通常这些 rootkit 只是一个 Linux Kernel Module (LKM)。事实上，当您像这样控制内核时，任何可执行文件的行为都可以受到影响，而无需修改二进制文件本身。（尽管通常不需要这样做）。

如今，用于 Linux 的 Kerneland rootkit 非常少见，因为内核开发人员很快就修补了这些漏洞。我确信有人有一个 0-day Linux 内核 rootkit，但你更有可能在野外遇到用户态 rootkit。

最新的 Linux rootkit Kbeast于 2012 年发布，影响到 Linux 2.6.32（2009 年发布），在撰写本文时最新版本是 2.6.39。我不知道你们当中有多少人真正欣赏这个事件，因为最后一个 LKM rootkit 是2009 年发布的Eyne LKM rookit。不用说，这样的攻击很少见。

除了 Rook 和 Jeff 的回答之外，Tripwire 和类似的解决方案也具有实时警报价值。要破坏同时监控自己文件的 Tripwire 系统，您需要防止它在破坏过程中发出警报。

不再那么直接的攻击了。

总而言之-只要有足够的时间/精力/技能等，您就可以绕过任何控制，但 Tripwire 有助于使攻击者更加困难。

正如 Rook 所说，Tripwire 确实有助于用户空间的妥协。它还需要一些内核攻击将这种检测方法考虑在内，从而提高了一点标准。我们在这里看到很多网站被入侵的案例，但可能不是整个系统。Tripwire 将在那里提供一种检测方法和更快的恢复。

离线比较是最可靠的检测方法，但在线比较是收集有助于确保安全的事物的绝佳工具。