Czy w systemie Linux istnieje sposób sprawdzenia, który użytkownik zaktualizował plik?

Czy Linux rejestruje, kto ostatnio zmienił plik (zamiast go utworzył)? Jeśli tak, to jak się tego dowiem? Jeśli nie, to czy istnieje jakiś sposób monitorowania plików?

Zobacz, kto dokonał zmian w pliku

Zainstaluj auditpakiet za pomocą menedżera pakietów dla swojej dystrybucji i uruchom usługę.

Ustaw zegarek dla pliku, który Cię interesuje, np /etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

Zobacz auditrekordy dla tego pliku

# ausearch -f /etc/passwd | less

Ogólnie nie. Nigdy tego nie próbowałem, ale jeśli chcesz śledzić użytkowników uzyskujących dostęp do określonego pliku, możesz przejrzeć audyt

Nie, nie ma zapisu, kto zmodyfikował który plik.

Aby dać ci wyobrażenie, możesz sprawdzić dzienniki, aby zobaczyć, kto był zalogowany w tym czasie, aw idealnych okolicznościach pliki historii mogą zostać zbadane.