Тебе нужно почитать про mkinitrd. Но в принципе, может быть достаточно выключить сервер на несколько минут, а потом find с ключом -atime?

Увы, это почему-то не работает... Перезагружаюсь, но ни в /boot, ни в /bin, ни в /usr, ни в /lib access time стоит старый, значительно более ранний, чем время загрузки. Хотя в fstab явно указано:

UUID=XXXXXXXXXXXXXX    /    ext4    atime    1   1

Ты хочешь путём удаления файлов сделать «минимальную систему»? Порекомендую тогда начать установку с минимальной системы, а не с кастрации существующей, тогда не придётся грызсть ногти на локтях в поисках косяков при обновлении, например. Перерегистрация в rhn безгеморна в сравнении с переактивацией венды, которая тебе привычна, судя по подходу к проблеме.

Нет, совсем не для минимальной системы. Надо выяснить, какие файлы в первую очередь проверять «Соболем».

Все кроме /home /var и /tmp, но для начала хватит и /boot с /etс. У меня оно вовсе криптопро проверяет зачем-то.

Тебе нужно собрать initramfs вместе с бинарником auditd. Его можно положить в папку bin. А строчку с auditctl и стартом auditd добавить в новый скрипт и положить его в pre-udev, например.

решение найдёно

Для проблемы, вызвавшей этот вопрос, с помощью саппорта RHEL найдено более изящное решение - с помощью systemtap. Кому интересно, решение здесь.