Como Andrew Henle comentou, isso já foi respondido nesta pergunta do superuser.com:
Descobrindo a hora em que um sistema de arquivos foi montado pela última vez
Suspeitamos que um dos nossos servidores CentOS foi comprometido porque alguém deixou um sistema de arquivos montado acidentalmente (é uma antiga partição vazia que não usamos mais, em um nome de diretório home / unusual_name. Acreditamos que alguém a montou para verificar o que é dentro e esqueceu de desmontar)
Nenhum rastreamento de comando de montagem em .bash_history nem / var / log / messages.
Temos vários auditorias de login para que possamos usar esses timestamps para saber se podemos identificar quem deixou esse sistema de arquivos montado, mas como podemos saber quando esse sistema de arquivos foi montado?
Atenciosamente
Como Andrew Henle comentou, isso já foi respondido nesta pergunta do superuser.com:
Descobrindo a hora em que um sistema de arquivos foi montado pela última vez
Tags mount security command-history