Исправление Dark_SavanT, (текущая версия) :
auditd позволяет отслеживать подозрительные системные вызовы
Только вот root это царь и бог в unix-системах. А значит при желании он может логи и подтереть.
Благородный дон не в курсе про selinux?
Исходная версия Dark_SavanT, :
auditd позволяет отслеживать подозрительные системные вызовы