Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow
# apt install auditd
# auditctl -D # auditctl -w /etc/passwd -p rwa -k passwords-files # auditctl -w /etc/shadow -p rwa -k passwords-files # auditctl -l # cat /etc/audit/audit.rules ubuntu24/debian12# /etc/audit/rules.d/audit.rules
... -w /etc/passwd -p rwa -k passwords-files -w /etc/shadow -p rwa -k passwords-files
# service auditd restart
user1$ touch /etc/passwd user1$ cat /etc/shadow
# cat /var/log/audit/audit.log # ausearch -f /etc/passwd # ausearch -k passwords-files