A resposta é: utilizar sistema de auditoria do kernel 2.6. O kernel 2.6.x vem com do daemon auditd, o qual é responsável por gravar os registros de auditoria em disco. Durante a inicialização as regras configuradas em /etc/audit/audit.rules são lidas por este processo.

Você pode abrir o arquivo de configuração para efetuar alterações tais quais configurar o caminho para o arquivo de log e outras opções. O arquivo padrão é suficiente para iniciar o uso e estudo do auditd.

Para utilizar as facilidades do auditd você precisa utilizar os seguintes utilitários:

auditctl

Utilitário de controle do sistema de auditoria do kernel. Você pode consultar o status, deletar ou adicionar regras para o sistema de auditoria do kernel. Configurar o sistema para monitorar um arquivo é efetuado usando o comando:

# auditctl -w /caminho/para/o/arquivo

ausearch

Comando para consultar o daemon do audit baseado em eventos com vários critérios de pesquisa.

aureport

Ferramenta que produz relatórios resumidos dos logs do sistema audit.

Note que todos os comandos foram testados por mim em RHEL 5.2 e pelo autor do artigo original, também CentOS 4.x, Fedora Core e RHEL 4.

Esta é uma tradução livre do original:

• Linux audit files to see who made changes to a file