Ответы:
Это далеко не надежно, но если мы говорим о доступе к оболочке, вы можете сопоставить время изменения файла с пользователями, вошедшими в систему в то время ( last), и затем проверить их ~ / .bash_history (или эквивалентный) для команд редактирования. Даже grep -H filename /home/*/.bash_historyможет дать вам отправную точку.
Нет, надежного способа узнать это не существует.
Команда statпоказывает вам все, что известно о файле (кроме фактического содержимого). Вы можете добавить опцию -Z, чтобы получить некоторую информацию SELinux; но ничего из этого не говорит вам, кто изменил файл последним.