Sous Linux, existe-t-il un moyen de voir quel utilisateur a mis à jour un fichier?

Est-ce que Linux enregistre qui a modifié un fichier en dernier (plutôt que de le créer)? Si oui, comment puis-je le savoir? Sinon, existe-t-il un moyen de surveiller les fichiers?

Voir qui a apporté des modifications à un fichier

Installez le auditpackage à l'aide du gestionnaire de packages pour votre distribution et démarrez le service.

Définissez une surveillance pour un fichier qui vous intéresse, tel que /etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

Voir les auditenregistrements de ce fichier

# ausearch -f /etc/passwd | less

En général, non. Je ne l'ai jamais essayé, mais si vous voulez suivre les utilisateurs accédant à un fichier particulier, vous pouvez jeter un œil à l' audit

Non, il n'y a aucune trace de qui a modifié quel fichier.

Pour vous donner une idée, vous pouvez consulter les journaux pour voir qui était connecté à ce moment-là, et dans des circonstances idéales, les fichiers d'historique peuvent être examinés.