Você poderia usar o sistema de auditoria para isso. É um pouco pesado, mas algo assim deve funcionar (em /etc/audit/audit.rules):
# delete all other rules
-D
# watch the file in question
-w /path/to/file -p rwxa
e, em seguida, acho que você precisa reiniciar o auditd:
sudo service audit restart
(Caso você não o tenha instalado, ele está no pacote auditd.) O culpado pode ser encontrado em /var/log/audit/audit.log.