Как определить пользователя, который может выполнить операцию удаления файла?

Существует папка, которая может быть доступна нескольким пользователям. Если есть файл, который был удален, возможно ли узнать, какой пользователь удалил этот файл и когда? Благодарю.

Да. Используйте программное обеспечение для аудита. Популярная реализация – auditd или auditd . Чтобы помочь «прокачать насос» в правилах аудита, можно приобрести множество связанных с аудитом правил для программного обеспечения через DISA STIG .

Хотя гиперссылка указывает на STIG (Руководство по технической реализации безопасности) для RHEL6 (RedHat Linux 6), тем не менее, это хороший базовый уровень безопасности, который будет в основном соответствовать вашей системе Linux, возможно, с некоторой интерполяцией, соответствующей вашему Linux.

Программное обеспечение разработано RedHat, но доступно для любого Linux. Доступна полезная документация .