Uma simples olhada em qualquer número de páginas sobre a composição de políticas (por exemplo aqui ) lhe dirá como inclua um ponto de parada em sua política.
Citado a partir da referência acima:
Parar Pontos : Os pontos de parada são usados para especificar arquivos ou diretórios específicos que o Tripwire não deve escanear. A sintaxe dos pontos de parada é:
! object_name ;*
EDITAR : Se, por comentário abaixo, você quiser apenas verificar modificações de arquivos à exclusão de "criação" & "exclusão", pode haver um problema de semântica na interpretação dessa regra de política específica, pois a criação e a exclusão de um arquivo podem ser logicamente consideradas como "modificações". Você pode querer verificar isso. Em caso afirmativo, a primeira máscara de propriedade abaixo pode fornecer falsos positivos, no sentido de que você detectará modificações no arquivo, mesmo se esses sinalizadores forem gerados como resultado de uma criação ou exclusão. Leia em.
Enquanto isso, veja se as seguintes máscaras de propriedade ( como explicado na referência dada na 1ª linha ) fazem isso por você:
/fully/qualified/path/to/object -> +m-i;
ou
/fully/qualified/path/to/object -> +M;
Explicação, veja a man page:
- m --- timestamp de modificação
- i --- número do inode
- M --- valor de hash MD5 (verifica apenas o conteúdo do arquivo, não as permissões, etc.)
onde:
+ significa "registrar e verificar a seguinte propriedade"
- significa "ignorar a seguinte propriedade"
Suponho que você já esteja familiarizado com inodes . Se não StartPage é seu amigo ... Você provavelmente precisará experimentar um pouco.
HTH.