Não por padrão. O kernel tem uma estrutura de auditoria para isso, mas deve ser ativado manualmente.
Existe log que registra o funcionamento dos arquivos no linux. Assim como, se alguns usuários renomearem ou deletarem ou adicionarem alguns arquivos, o usuário root poderá ver os registros das operações. Esses logs existem no linux. Thx
Não por padrão. O kernel tem uma estrutura de auditoria para isso, mas deve ser ativado manualmente.
Se você é root, pode encontrá-los nos arquivos .bash_history dos usuários (supondo que eles estejam usando o Bash como shell; outros shells mantêm seus históricos em outro lugar).
.bash_history na pasta home de cada usuário contém apenas comandos que foram inseridos por este usuário no console (final executado também, que wend wrong não entra nesse arquivo), não se trata de operações de arquivo. Além disso, as mesmas informações que você pode obter pelo comando history .
Eu acho que é impossível obter exatamente o histórico das operações de arquivo, mas o que você pode conseguir é obter todas as operações de arquivo para cada comando que você quiser - use strace para isso. Como strace -e trace=open groupadd blabla .