/etc/passwd とかは、システムも頻繁にアクセスするので、例えば不正アクセスの調査をするために〜とかで普通にログインすると、システムが /etc/passwd 読み込んで Atime が変化したりするのではないかという気もするんですが、それが不正アクセス者による閲覧なのか、調査する側のアクセスによるものか、システムなどの正規のアクセスかを判断するのはなかなか難しいですかね。＞図8のあたり
たんに参照しただけでなく、どこぞのファイルに結果を出力などしていれば、MAC が揃っているか、M C time がその辺りの時刻のものが出てくる可能性などもありそうです。
bashのヒストリファイル辺りにその旨が書いてあったり、アクセスログなどが別途あるケースではより判断しやすいと思いますのでやはりログは大切なんですかねぇ、まぁ/etc/passwd へのアクセスログを記録してもほとんど役に立たないデータが大量に溜まるだけではないのか？という気もしますが、この辺りのログの条件設定は皆さんどうしてるんでしょうかね。