auditd

Mit auditd kann man unter anderm Änderungen an bestimmten Dateien überwachen lassen

auditctl -w /file/path -p rwxa -k filter_key_in_aureport

Report ausgeben:

aureport -f /file/path

Mit aureport kann man sich z.B. auch Login und Auth-Versuche anzeigen lassen:

aureport -au

# aureport -au

Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/16/2018 19:15:46 dexter x.x.x.x ssh /usr/sbin/sshd no 40
2. 11/16/2018 19:16:47 viper x.x.x.x ssh /usr/sbin/sshd no 51