Tripewire （ http://www.tripwire.org/ ）を自分が管理しているサーバに仕掛けている方も少なくないと思いますが、ポリシーを設定するのは骨が折れますね。

　チェック時にエラーがいっぱいでるので、/proc をチェック対象から外している方も少なくないと思うのですが、以前、サーバに侵入されて /proc 下になんか変なのを作られたのを見たことがあるので、どうしたものかと悩んでいます。

　それから、メールボックスなんかも中身が変わってあたりまえですから悩ましいですね。特に Maildir 形式にしていると、チェック対象から外したくなります。でも、私が侵入者だったらここに良くないものを置いたりするかもしれません。

　/usr や /etc が触られたことだけ検知するんだ！　と思えば別にそこまでナーバスになる必要はないと思いますけどね。