Есть ли способ узнать, какой пользователь пытался получить доступ к определенному файлу и получил ошибку отказа в разрешении

I believe you can configure rules to do what you're asking with auditd(auditctl).

I can't help with it beyond this, because my only experience with it was shutting it off when it was killing my machine due to the excessive logging. But they seem to have solved this problem (at least back then): https://unix.stackexchange.com/questions/220250/using-auditd-to-capture-permission-denied-notices

Нет. Простой сбой открытия файла - это проблема, связанная с процессом, а не проблема системы. Процесс, пытающийся открыть файл, является единственным, который знает, что открыть не удалось.

Так как «Отказано в доступе» является допустимым состоянием возврата, и часто происходит, он не регистрируется .