Ну, если Вы имеете в виду в прошлом, что Вы, вероятно, не можете, если Вам не включили некоторый audtiting.
Принятие Вас не делает, можно посмотреть на полномочия файла и каталоги для наблюдения, кто имеет, имеет доступ. Вы можете grep общий .bash_history файл для имени файла.
И это об этом, насколько я знаю. Если у них все еще есть он открытый, Вы могли бы использовать lsof, например.
Можно использовать auditd пакет, как предложено в другом ответе. Простое использование было бы:
auditctl-w/etc/passwd-p война-k файл паролей
который будет наблюдать за записью, добавить, операции чтения на этом файле.
Можно затем получить контрольные журналы посредством команды:
ausearch-f/etc/passwd
Эти примеры взяты от этой статьи, которая предоставляет более полный обзор этих команд. auditd пакет обычно включает эти команды.
Если Вы только интересуетесь контролирующими операциями на файлах, и не, кто на самом деле выполнил те операции, можно использовать команду inotifywatch вместо того, чтобы включить аудит. Это обычно доступно через пакет inotify-инструментов. Это записывает события файловой системы с помощью интерфейса inotify Linux.
Другим способом сделать это является inotify, http://www.ibm.com/developerworks/linux/library/l-inotify.html