En Linux, ¿hay alguna forma de ver qué usuario actualizó un archivo?

¿Linux registra quién cambió por última vez un archivo (en lugar de crearlo)? Si es así, ¿cómo puedo averiguarlo? Si no, ¿hay alguna forma de monitorear los archivos?

Ver quién realizó cambios en un archivo

Instale el auditpaquete usando el administrador de paquetes para su distribución e inicie el servicio.

Configure un reloj para un archivo que le interese, como /etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

Ver los auditregistros de ese archivo

# ausearch -f /etc/passwd | less

En general no. Nunca lo he intentado, pero si desea realizar un seguimiento de los usuarios que acceden a un archivo en particular, puede echar un vistazo a la auditoría

No, no hay registro de quién modificó qué archivo.

Para darle una idea, puede consultar los registros para ver quién inició sesión en ese momento y, en circunstancias ideales, se pueden examinar los archivos de historial.