Veja quem fez alterações em um arquivo
Instale o pacote audit
usando o gerenciador de pacotes para sua distribuição e inicie o serviço.
Defina um relógio para um arquivo de seu interesse, como /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Veja os registros audit
desse arquivo
# ausearch -f /etc/passwd | less