Записывает ли Linux, кто последним изменил файл (а не создал его)? Если да, то как мне это узнать? Если нет, есть ли способ контролировать файл (ы)?
Посмотрите, кто внес изменения в файл
Установите audit package с помощью диспетчера пакетов для вашего дистрибутива и запустите службу.
Установите часы для интересующего вас файла, например /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Увидеть audit записи для этого файла
# ausearch -f /etc/passwd | less
В общем, нет. Я никогда не пробовал, но если вы хотите отслеживать пользователей, обращающихся к определенному файлу, вы можете взглянуть на аудит
Нет, нет записи о том, кто какой файл изменил.
Чтобы дать вам представление, вы можете проверить журналы, чтобы узнать, кто вошел в систему в то время, и в идеальных обстоятельствах можно проверить файлы истории.