sudo誰かがユーザーを追加したと仮定した場合、それが誰であるかを簡単に確認する方法はありますか?
答え1
が使用されたと述べているのでsudo、ログにこれが含まれている可能性があります。
たとえば、systemd の場合:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
systemd 以外のシステムでは、通常、このログは/var/log/secureまたはにあります/var/log/auth.log。
答え2
おっしゃるとおり、これはシステムによって異なります。Debian では同じではありませんが、Fedora Linux でのテストでは次のようになります。
「監査サブシステム」はデフォルトでインストールされ、有効になっています。 を使用して開かれたルート シェルからユーザーが useradd を実行したかどうかも確認できますsudo -i。永続的な systemd-journal がある場合はそこに表示され、監査が責任を負っている数値のユーザー ID を確認できます。
2月28日 17:30:32 alan-laptop 監査[18253]: ADD_GROUP pid=18253 uid=0 認証ID=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? ターミナル=pts/1 res=success' 2月28日
17:30:32 alan-laptop 監査[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id=1003 exe="/usr/sbin/useradd" ホスト名=alan-laptop addr=? 端末=pts/1 res=成功'