No Linux, existe uma maneira de ver qual usuário atualizou um arquivo?

O Linux registra quem alterou um arquivo pela última vez (em vez de criá-lo)? Se sim, como faço para descobrir isso? Caso contrário, existe alguma maneira de monitorar os arquivos?

Veja quem fez alterações em um arquivo

Instale o auditpacote usando o gerenciador de pacotes para sua distribuição e inicie o serviço.

Defina um relógio para um arquivo no qual você esteja interessado, como /etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

Veja os auditregistros para esse arquivo

# ausearch -f /etc/passwd | less

Geralmente não. Eu nunca tentei, mas se você deseja rastrear usuários acessando um arquivo específico, pode dar uma olhada na auditoria

Não, não há registros de quem modificou qual arquivo.

Para ter uma idéia, você pode verificar os logs para ver quem estava conectado naquele momento e, em circunstâncias ideais, os arquivos de histórico podem ser examinados.