Есть ли такие штуки, которые могут сравнить содержимое диска с системой, с установочным образом ОС и показать все отличия? Что бы вероятные взломы расследовать.
The Unix security audit and intrusion detection tool
Tiger is a security tool that can be use both as a security audit and intrusion detection system. It supports multiple UNIX platforms and it is free and provided under a GPL license. Unlike other tools, Tiger needs only of POSIX tools and is written entirely in shell language.
TIGER has one primary goal: report ways the system’s security can be compromised.
Most of the tools are independent, but some of them rely on specialised external security tools such as John the Ripper, Chkroot and integrity check tools (like Tripwire, Integrit or Aide) to execute some tasks.
В опёнке есть changelist(5) / security(8) и включено по умолчанию, как часть daily(8).
В бтрфс вроде такое между снапшетами найти можно