Sie wissen, dass Tripwire Open Source veraltet ist und nicht mehr unterstützt wird? Außerdem ist seine Konfiguration mühsam und es gibt keinen zentralisierten Support.
Die empfohlenen Open-Source-Integritätsmonitore mit zentralisiertem Support und aktiver Wartung sind:
-OSSEC - https://ossec.github.io/
-Samhain - http://www.la-samhna.de/samhain/
-Osiris - http://osiris.shmoo.com/
Ich bin besonders ein Fan von OSSEC, das am einfachsten und am einfachsten zu verwenden ist ... Aber probieren Sie sie alle aus und sehen Sie, ob Sie möchten.
Ich denke, Ihre Annahmen sind in Ordnung.
Es gibt nichts Interessantes in proc, auf das man achten muss, und sie ändern sich jedes Mal./dev ist auch eine gute Frage. Früher hatte ich diese Zeile, aber jetzt mit udev bin ich mir nicht mehr so sicher.
Du hast diese Zeile immer noch, oder?
/var -> $(SEC_INVARIANT) (rekursiv =0);
Mein wirkliches Problem mit Tripwire ist, dass es regelmäßig gewartet werden muss, um es auf dem neuesten Stand zu halten. Als ich die Zeit hatte, funktionierte es großartig, aber nicht mehr.
Vielleicht lohnt sich ein Blick auf Samhain. Es meldet sich nur einmal und lernt dann die Änderungen. Es hat andere großartige Funktionen (vielleicht werde ich diese später erweitern).