1 — iptables не работает на уровне приложений, а использовать для подобных локальных потребностей l7-filter или полноценные DPI приложения просто маразм в виду не лёгкости их применения.
2 — у человека и есть Ubuntu, так что AppArmor там или SELinux роли не играет. Да данным приблудами можно попытаться воспользоваться.
Ну собственно мне добавить здесь нечего. Примеры решений я Вам дал. До кучи ниже предложен auditd и даже скрипт через find (это уже точно не котируется на фоне tripwire).
Выбор и реализация за Вами.
Ну тогда можно повозится с достаточно серьёзной тулзой контроля целостности — tripwire. Однако она не даст вам инфы в реальном времени, что может дать механизм inotify. Tripwire бегает по cron.daily по умолчанию. На счёт производительности данной системы не могу сказать.
Эм… А git-то зачем дёргать? Письмо отправлять надо по таким событиям. А если посмотреть изменения, то потом либо diff'ом, либо если хотите то вручную git запустить. А самое темное это diff -u на почту отправлять.
Давайте буквоедством заниматься. Можно докопаться до любой фразы и до миллионов формулировок.
К тому же нехрена читать часть предложения. Там стоит союз «или».
