Esta é uma abordagem de força bruta, mas você pode examinar a .bash_history do usuário no diretório inicial. Isso armazenará apenas uma certa quantidade de linhas.
Isso pode funcionar, não estou dizendo que funcionará:
Isso pressupõe que seus diretórios pessoais estão em / home e que o usuário não removeu seus diretórios bash arquivo de histórico ou mover seu arquivo de histórico.
for i in 'ls /home/' do
echo "CURRENT USER IS $i"
grep <filename> /home/$i/.bash_history | less
done
que deve encontrar referências nos históricos bash dos usuários nos hosts.
Em seguida, você pode usar a última saída para ver quem efetuou login no momento em que o registro de data e hora do arquivo que você está inspecionando foi alterado. Procure tempos próximos ao horário que o registro de data e hora no arquivo diz.
Você também vai querer procurar referências ao comando echo ou qualquer coisa usando o redirecionamento, já que o arquivo poderia ter sido modificado com um redirecionamento, por exemplo, echo "test" > file_I_should_not_edit ou echo "foo" > > append_to_file_i_should_not_edit.
Eu gostaria de poder contar uma resposta exata para o seu problema.