This is an old revision of the document!
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow
# apt-get install auditd
# auditctl -D # auditctl -w /etc/passwd -p rwa -k passwords-files # cat /etc/audit/audit.rules
... -w /etc/passwd -p rwa -k passwords-files -w /etc/shadow -p rwa -k passwords-files
# /etc/init.d/auditd restart
# touch /etc/passwd # cat /etc/shadow
# cat /var/log/audit/audit.log # ausearch -f /etc/passwd # ausearch -k passwords-files # ausearch -f /etc/passwd -i