Suponiendo que alguien solía sudoagregar un usuario, ¿existe una manera fácil de determinar quién era?
Respuesta1
Como mencionas que usaron sudo, es probable que tengas esto en tus registros.
Por ejemplo, con systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
En sistemas que no son systemd, normalmente puede encontrar este registro en /var/log/secureo /var/log/auth.log.
Respuesta2
Como se sugirió, esto varía entre sistemas. No es lo mismo en Debian, pero según las pruebas en Fedora Linux:
"El subsistema de auditoría" está instalado y habilitado de forma predeterminada. Puede averiguarlo incluso si el usuario ejecutó useradd desde un shell raíz abierto usando sudo -i. Si tiene un systemd-journal persistente, debería aparecer allí y podrá ver el ID de usuario numérico del que la auditoría considera responsable:
28 de febrero 17:30:32 auditoría de alan-laptop [18253]: ADD_GROUP pid=18253 uid=0 auid=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=éxito' 28 de febrero
17:30:32 auditoría de alan-laptop[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id =1003 exe="/usr/sbin/useradd" nombre de host=dirección alan-laptop=? terminal=pts/1 res=éxito'