Estou curioso quando exatamente um determinado diretório está sendo usado e quando é carregado na memória. Existe uma maneira de colocar um gancho de baixo nível no sistema de arquivos linux que diz que quando um arquivo com a opção de execução é lido, registre este evento.
Outras questões destacam ferramentas de auditoria ou rastreamento dentro de um determinado shell. Na minha opinião, a solução perfeita seria bloquear os executáveis, a menos que a transação de log seja bem-sucedida e seja acionada pela presença de um arquivo de configuração (ou seja, executabletracker.conf).
Tags security logging linux unix filesystems