auditd
[audit]. Demonio que monitoriza accesos al sistema y modificación de ficheros y carpetas. Sin ninguna configuración adicional registrará en /var/log/audit/audit.log toda la actividad del sistema [ssh, vnc, cron...]. Si queremos controlar un directorio:
# nano /etc/audit/audit.rules
Y, para controlar todo el directorio personal, añadimos la linea:
-w /home/USUARIO -p wa
Toda modificación del archivo de configuración implica reiniciar el servicio:
# service auditd restart
# ausearch -f /home/USUARIO
Muestra las incidencias del directorio
# auditctl -D
Suprime todas las reglas
# auditctl -w /home/USUARIO -p w
Monitorizar el directorio personal solo hasta el reinicio del servicio o del sistema