Angenommen, jemand hat sudoeinen Benutzer hinzugefügt. Gibt es eine einfache Möglichkeit, herauszufinden, wer das war?
Antwort1
Da Sie erwähnen, dass sie verwendet haben sudo, steht dies wahrscheinlich in Ihren Protokollen.
Beispielsweise mit systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
Auf Nicht-systemd-Systemen finden Sie dieses Protokoll normalerweise unter /var/log/secureoder /var/log/auth.log.
Antwort2
Wie bereits erwähnt, ist dies von System zu System unterschiedlich. Unter Debian ist es nicht dasselbe, aber Tests unter Fedora Linux haben ergeben:
"Das Audit-Subsystem" ist standardmäßig installiert und aktiviert. Sie können es sogar herausfinden, wenn der Benutzer useradd von einer Root-Shell aus ausgeführt hat, die mit geöffnet wurde sudo -i. Wenn Sie ein persistentes Systemd-Journal haben, sollten sie dort erscheinen und Sie können die numerische Benutzer-ID sehen, die für Audit verantwortlich ist:
28. Februar 17:30:32 Alan-Laptop-Audit [18253]: ADD_GROUP pid = 18253 uid = 0 auid=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success' 28. Februar
17:30:32 Alan-Laptop-Audit[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id=1003 exe="/usr/sbin/useradd" Hostname=Alan-Laptop Adresse=? Terminal=pts/1 res=Erfolg'