tripwire オープンソースは時代遅れで、サポートされていないことをご存知ですか?さらに、その構成は面倒であり、一元化されたサポートはありません.
オープン ソースであり、サポートが一元化され、積極的にメンテナンスされている、推奨される整合性モニターは次のとおりです。
-OSSEC - https://ossec.github.io/
-サムハイン - http://www.la-samhna.de/samhain/
-オシリス - http://osiris.shmoo.com/
私は特に OSSEC のファンです。OSSEC は最もシンプルで使いやすいものです...しかし、それらすべてを試してみて、気に入ったかどうかを確認してください。
あなたの仮定は大丈夫だと思います。
proc には注目すべき興味深いものはなく、毎回変化します。/dev も良い質問です。以前はその行がありましたが、udev ではよくわかりません。
このセリフはまだありますよね?
<ブロック引用>/var -> $(SEC_INVARIANT) (再帰 =0);
tripwire に関する私の本当の問題は、最新の状態に保つために定期的な注意が必要なことです。時間があるときは問題なく機能していましたが、もう機能しませんでした。
サムハインを見てみる価値があるかもしれません。一度だけ報告し、変更を学習します。他にも優れた機能があります (後で拡張するかもしれません)。