TL; DR: Em muitos casos, você pode ver se o arquivo foi acessado; no entanto, é impossível dizer se uma cópia foi feita ou não.
Parece que atime
seria atualizado ao usar cp
(a menos que noatime
esteja em vigor); no entanto, qualquer outra operação de leitura (como grep somestring $filename
) também tocaria no arquivo.
Na maioria das instalações (sem uma tonelada de auditoria), não é possível descobrir por que exatamente o arquivo foi lido, e se o processo de leitura do arquivo também escreveu uma cópia dos dados em outro lugar (para USB? para soquete? para RAM?).
Além disso, isso só se refere a ataques online sem privilégios. Se eu tiver acesso físico, posso reinicializar em uma distribuição de CD ao vivo, montar a partição somente para leitura, copiar qualquer coisa para fora dela (ou mesmo criar uma imagem de disco completo) e não haverá marcas a partição (exceto o contador de montagem incrementado).