假设有人曾经sudo
添加过一个用户,有没有一种简单的方法可以确定是谁?
答案1
既然您提到他们使用了sudo
,您的日志中可能会包含此内容。
例如,使用 systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
在非 systemd 系统上,您通常可以在/var/log/secure
或处找到此日志/var/log/auth.log
。
答案2
正如所建议的,这因系统而异。在 Debian 上不一样,但在 Fedora linux 上测试:
默认情况下安装并启用“审核子系统”。即使用户从使用打开的 root shell 运行 useradd ,您也可以发现sudo -i
。如果您有持久的 systemd-journal,它们应该出现在那里,并且您可以看到审计负责的数字用户 ID:
2 月 28 日 17:30:32 alan-laptop 审核[18253]:ADD_GROUP pid=18253 uid=0 auid=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" 主机名=alan-laptop addr=? Terminal=pts/1 res=success' 2 月 28 日
17:30:32 alan-laptop 审计 [18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id =1003 exe="/usr/sbin/useradd" 主机名=alan-laptop addr=?终端=pts/1 res=成功'