Supondo que alguém adicionou sudoum usuário, existe uma maneira fácil de determinar quem era?
Responder1
Como você mencionou que eles usaram sudo, provavelmente você terá isso em seus registros.
Por exemplo, com systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
Em sistemas não systemd, normalmente você pode encontrar esse log em /var/log/secureou /var/log/auth.log.
Responder2
Conforme sugerido, isso varia entre os sistemas. Não é o mesmo no Debian, mas nos testes no Fedora linux:
"O subsistema de auditoria" está instalado e habilitado por padrão. Você pode descobrir mesmo se o usuário executou useradd a partir de um shell root aberto usando sudo -i. Se você tiver um systemd-journal persistente, eles deverão aparecer lá, e você poderá ver o ID numérico do usuário responsável pela auditoria:
28 de fevereiro 17:30:32 auditoria de alan-laptop[18253]: ADD_GROUP pid=18253 uid=0 ajuda = 1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=sucesso' 28 de fevereiro
17:30:32 auditoria alan-laptop [18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id =1003 exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=sucesso'