Supondo que alguém usou sudo para adicionar um usuário, existe uma maneira fácil de determinar quem era?
Como você mencionou que eles usaram sudo , você provavelmente terá isso nos seus registros.
Por exemplo, com systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
Em sistemas não-systemd, você pode encontrar esse log em /var/log/secure ou /var/log/auth.log .
Como sugerido, isso varia entre os sistemas. Não é o mesmo no Debian, mas a partir do teste no Linux do Fedora:
"O subsistema de auditoria" é instalado e ativado por padrão. Você pode descobrir mesmo se o usuário executou useradd de um shell raiz aberto usando sudo -i . Se você tiver um diário de sistema persistente, eles deverão aparecer lá e você poderá ver o ID de usuário numérico que a auditoria considera responsável:
Feb 28 17:30:32 alan-laptop audit[18253]: ADD_GROUP pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success' Feb 28
17:30:32 alan-laptop audit[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id=1003 exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success'