Discussão sobre monitoramento da integridade de arquivos

Bom dia a todos,

Estamos conduzindo um projeto acadêmico, este sendo o desenvolvimento de um sistema de monitoramento da integridade de arquivos no Linux. O intuito deste é auxiliar os administradores de sistemas e servidores, notificando-os sobre alterações não previstas em arquivos críticos para o funcionamento e segurança do sistema, alguns exemplos seriam:

Um arquivo executável em /bin foi alterado;

Um novo usuário foi adicionado no arquivo /etc/passwd;

Os exemplos acima são óbvios, mas agora gostaria de iniciar uma discussão neste fórum, com os administradores de sistemas, acerca de quais arquivos importantes vocês acreditam que deveriam ser monitorados e porque?

Qualquer contribuição que possam compartilhar conosco seria de grande ajuda e nos mantemos abertos para discussões!

Oi, tb? Varios arquivos são exenciais de se adicionar ao seu progeto, como /etc/sudoers, q e meio obvio, da acesso ao sudo, e /etc/shadow, /etc/group Mudanças nesses arquivos podem indicar a adição ou modificação de usuários e grupos. /home/$USER/.ssh/authorized_keys Um invasor pode adicionar chaves SSH para acesso remoto.