O Linux registra quem alterou pela última vez um arquivo (em vez de criá-lo)? Se sim, como faço para descobrir isso? Se não, existe alguma maneira de monitorar arquivo (s)?
Veja quem fez alterações em um arquivo
Instale o pacote audit usando o gerenciador de pacotes para sua distribuição e inicie o serviço.
Defina um relógio para um arquivo de seu interesse, como /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Veja os registros audit desse arquivo
# ausearch -f /etc/passwd | less
Geralmente, não. Eu nunca tentei, mas se você quiser rastrear usuários acessando arquivos específicos, você pode dar uma olhada em auditoria
Não, não há registro de quem modificou qual arquivo.
Para ter uma idéia, você pode verificar os logs para ver quem estava logado naquele momento e, em circunstâncias ideais, os arquivos de histórico podem ser examinados.
Tags users linux filesystems