Sai che l'open source di tripwire è obsoleto e non è più supportato? Inoltre, la sua configurazione è un problema e non ha un supporto centralizzato.
I monitor di integrità consigliati che sono open source, con supporto centralizzato e mantenuti attivamente sono:
-OSSEC - https://ossec.github.io/
-Samhain - http://www.la-samhna.de/samhain/
-Osiride - http://osiris.shmoo.com/
Sono particolarmente un fan di OSSEC, che è il più semplice, facile da usare... Ma provali tutti e vedi se ti piace.
Penso che le tue supposizioni vadano bene.
Non c'è niente di interessante in proc da tenere d'occhio, e cambiano ogni volta./dev è anche una buona domanda. Avevo quella linea, ma ora con udev non ne sono così sicuro.
Hai ancora questa linea, vero?
/var -> $(SEC_INVARIANT) (ricorrenza =0);
Il mio vero problema con tripwire è che richiede un'attenzione regolare per mantenerlo aggiornato. Quando ho avuto il tempo ha funzionato alla grande, ma ora non più.
Forse vale la pena dare un'occhiata a Samhain. Segnala solo una volta, quindi apprende le modifiche. Ha altre fantastiche funzionalità (forse le estenderò in seguito).