Vous savez que l'open source tripwire est obsolète et n'est plus pris en charge ? De plus, sa configuration est pénible et il n'a pas de support centralisé.
Les moniteurs d'intégrité recommandés qui sont open source, avec un support centralisé et activement maintenus sont :
-OSSEC - https://ossec.github.io/
-Samhain - http://www.la-samhna.de/samhain/
-Osiris - http://osiris.shmoo.com/
Je suis particulièrement fan d'OSSEC, qui est le plus simple, le plus facile à utiliser... Mais essayez-les tous et voyez si vous aimez.
Je pense que vos hypothèses sont correctes.
Il n'y a rien d'intéressant dans proc à surveiller, et ils changent à chaque fois./dev est également une bonne question. J'avais l'habitude d'avoir cette ligne, mais maintenant avec udev, je ne suis plus si sûr.
Vous avez toujours cette ligne, n'est-ce pas ?
/var -> $(SEC_INVARIANT) (recurse =0);
Mon vrai problème avec Tripwire est qu'il nécessite une attention régulière pour le maintenir à jour. Quand j'avais le temps, cela fonctionnait très bien, mais plus maintenant.
Cela vaut peut-être la peine de jeter un coup d'œil à Samhain. Il ne signale qu'une seule fois, puis apprend les modifications. Il a d'autres fonctionnalités intéressantes (peut-être que je vais étendre cela plus tard).