Apenas o root pode executar o encerramento, portanto, esse usuário era root.
Espero que você imponha o uso de sudo
para executar comandos raiz. Nesse caso, procure em /var/log/secure
para descobrir quem usou sudo shutdown
.
Em uma caixa de produção do redhat, alguém acabou de rodar o shutdown e eu preciso encontrar o arquivo de log que mostra especificamente qual usuário executou o comando "shutdown" (e quando seria legal).
Dependendo de como o comando foi executado, isso pode ser um pouco complicado.
last
pode ser útil. last
de qual endereço eles fizeram login e quem estava usando o sistema naquele momento. Além disso, corrija isso para que eles não possam efetuar login remotamente como root. last|head
Espero que não haja muitos administradores conectados ao mesmo tempo que o root.
Tags linux