Como descubro quem adicionou um usuário?

3

Supondo que alguém usou sudo para adicionar um usuário, existe uma maneira fácil de determinar quem era?

    
por merlin2011 19.12.2016 / 01:35

2 respostas

4

Como você mencionou que eles usaram sudo , você provavelmente terá isso nos seus registros.

Por exemplo, com systemd:

% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]:    cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar

Em sistemas não-systemd, você pode encontrar esse log em /var/log/secure ou /var/log/auth.log .

    
por 19.12.2016 / 01:43
0

Como sugerido, isso varia entre os sistemas. Não é o mesmo no Debian, mas a partir do teste no Linux do Fedora:

"O subsistema de auditoria" é instalado e ativado por padrão. Você pode descobrir mesmo se o usuário executou useradd de um shell raiz aberto usando sudo -i . Se você tiver um diário de sistema persistente, eles deverão aparecer lá e você poderá ver o ID de usuário numérico que a auditoria considera responsável:

Feb 28 17:30:32 alan-laptop audit[18253]: ADD_GROUP pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success' Feb 28

17:30:32 alan-laptop audit[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id=1003 exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success'

    
por 28.02.2017 / 18:39