Víte, že open source tripwire je zastaralý a již není podporován? Navíc je jeho konfigurace náročná a nemá žádnou centralizovanou podporu.
Doporučené monitory integrity, které jsou open source, s centralizovanou podporou a aktivně udržované, jsou:
-OSSEC - https://ossec.github.io/
-Samhain - http://www.la-samhna.de/samhain/
-Osiris - http://osiris.shmoo.com/
Speciálně jsem fanouškem OSSEC, který je nejjednodušší, nejsnadněji použitelný... Ale vyzkoušejte je všechny a uvidíte, zda se vám bude líbit.
Myslím, že vaše předpoklady jsou v pořádku.
V proc není nic zajímavého, co by se dalo sledovat, a pokaždé se mění./dev je také dobrá otázka. Kdysi jsem tu linku měl, ale teď s udev si tím nejsem tak jistý.
Stále máte tento řádek, že?
/var -> $(SEC_INVARIANT) (rekurze =0);
Můj skutečný problém s tripwire je ten, že vyžaduje pravidelnou pozornost, aby byl aktuální. Když jsem měl čas, fungoval skvěle, ale už ne.
Možná by stálo za to podívat se na Samhain. Hlásí se pouze jednou a poté se změny naučí. Má další skvělé funkce (možná to rozšířím později).