Você pode implementar isso usando o módulo auditd e um pam. Você precisa carregar o módulo pam pam_tty_audit
em sessão como
session required pam_tty_audit.so disable=testuser1 enable=testuser,root
nos arquivos /etc/pam.d/password-auth
e /etc/pam.d/system-auth
.
e, em seguida, o toque da tecla dos usuários habilitados será logado no log de auditoria.
Ao gerar o relatório de auditoria use a opção -i com aureport para obter exatamente o nome de usuário.
por exemplo: aureport --tty -i -ts today
Uma desvantagem desse método é que todos os pressionamentos de tecla serão registrados, incluindo as senhas inseridas no terminal.
Para rastrear arquivo aide ajudado pode ser usado. Isso usa um método de verificação de soma de verificação. Mas a linha exata alterada no arquivo não é rastreável.