Есть ли способ в linux (возможно, с использованием Inotify?) "Записывать", какие файлы редактируются в реальном времени?
Вы можете настроить auditd сделать это.
смотреть на Открытый исходный код Tripwire или коммерческий Tripwire товары.
ССЫЛКА НА САЙТ есть хорошая запись о том, как это сделать с помощью auditd