Vous devriez surveiller (presque) tous les fichiers.
En supposant que ce système n'est qu'une base de données de hachage, vous devez ignorer certains fichiers :
- tout dans /proc (il y a beaucoup de choses utiles ici pour les chasseurs de rootkit)
- fichiers journaux (il existe des outils qui feront une analyse heuristique de ces fichiers)
- fichiers contenant des systèmes de fichiers (cela inclut les systèmes de fichiers en boucle et les fichiers de base de données - mais vous voudrez probablement vérifier les "fichiers" à l'intérieur du fichier).
- espace d'échange
(le plus difficile est de mettre en place un processus pour auditer correctement les modifications)
Vous ne savez pas quel système de surveillance de l'intégrité des fichiers vous utilisez, mais la plupart des systèmes de surveillance de l'intégrité des fichiers commerciaux tels que Verisys et Tripwire peuvent être configurés pour surveiller "automatiquement" les fichiers pertinents.
Par exemple, vous leur dites que vous utilisez Windows Server 2008 et Microsoft SQL Server 2008, puis ils surveillent les fichiers et les entrées de registre applicables.