O que você quer é um sistema de detecção de intrusão. Eu usei o AIDE confortavelmente por um tempo, ele pode enviar um relatório de e-mail diário com alterações nos arquivos, para você revisar.
Outra possibilidade é o samhain, eu acabei de encontrá-lo fazendo apt-cache search intrusion .
Estas são apenas duas opções, mas existem muitas outras, pelo que provavelmente não será necessário implementar as suas próprias.
OH e também há Tripwire, o avô de todos esses softwares, embora pareça ter sido "freemercial": link