ファイル改変を含む侵入検知を行う場合は、通常IDS(Intrusion Detection System:侵入検知システム)を使いますが、結構これがファイヤーウォール以上に負荷が高く導入するとパフォーマンスを維持するコストが跳ね上がります。
例えば/home/user/ 直下で24時間以内に変更されたファイルを検出するには
# find /home/user/ -maxdepth 1 -mtime -1
と打ちます。maxdepthで検索ディレクトリからfindで検索する階層を指定(1なら直下、2なら直下のサブディレクトリの下まで)、mtimeで-1は1日以内、+nにするとn日以上になります。
また、mtimeの代わりにmminを使用した場合は単位は分になります。
# find /home/user/ -maxdepth 1 -mtime -1440
これをcron等に登録して定期実行しメールで渡してあげればファイル変更を検出できます。
これは外部からの侵入よりもソーシャルハッキングの検知やオペレーションミスの早期発見によいかもしれません。