¿Sabes que el código abierto de tripwire está desactualizado y ya no es compatible? Además, su configuración es una molestia y no tiene soporte centralizado.
Los monitores de integridad recomendados que son de código abierto, con soporte centralizado y mantenidos activamente son:
-OSSEC - https://ossec.github.io/
-Samhain - http://www.la-samhna.de/samhain/
-Osiris - http://osiris.shmoo.com/
Soy especialmente fan de OSSEC, que es el más simple, el más fácil de usar... Pero pruébalos todos y verás si te gustan.
Creo que tus suposiciones están bien.
No hay nada interesante en proc para observar, y cambian cada vez./dev también es una buena pregunta. Solía tener esa línea, pero ahora con udev no estoy tan seguro.
Todavía tienes esta línea, ¿verdad?
/var -> $(SEC_INVARIANT) (recurso =0);
Mi verdadero problema con Tripwire es que requiere atención regular para mantenerlo actualizado. Cuando tuve tiempo funcionó muy bien, pero ya no.
Tal vez valga la pena echarle un vistazo a Samhain. Solo informa una vez y luego aprende los cambios. Tiene otras excelentes características (tal vez las amplíe más adelante).