Como sugerido, isso varia entre os sistemas. Não é o mesmo no Debian, mas a partir do teste no Linux do Fedora:
"O subsistema de auditoria" é instalado e ativado por padrão. Você pode descobrir mesmo se o usuário executou useradd de um shell raiz aberto usando sudo -i
. Se você tiver um diário de sistema persistente, eles deverão aparecer lá e você poderá ver o ID de usuário numérico que a auditoria considera responsável:
Feb 28 17:30:32 alan-laptop audit[18253]: ADD_GROUP pid=18253 uid=0
auid=1000 ses=9
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
msg='op=add-group acct="test" exe="/usr/sbin/useradd"
hostname=alan-laptop addr=? terminal=pts/1 res=success' Feb 28
17:30:32 alan-laptop audit[18253]: ADD_USER pid=18253 uid=0 auid=1000
ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
msg='op=add-user id=1003 exe="/usr/sbin/useradd" hostname=alan-laptop
addr=? terminal=pts/1 res=success'