Предположим, что кто-то добавлял sudoпользователя, есть ли простой способ определить, кто это был?
решение1
Поскольку вы упомянули, что они использовали sudo, то, скорее всего, это есть в ваших журналах.
Например, с помощью systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
В системах, отличных от systemd, этот журнал обычно можно найти по адресу /var/log/secureили /var/log/auth.log.
решение2
Как и предполагалось, это отличается в зависимости от системы. Это не то же самое в Debian, но из тестирования на Fedora linux:
"Подсистема аудита" установлена и включена по умолчанию. Вы можете узнать, даже если пользователь запустил useradd из оболочки root, открытой с помощью sudo -i. Если у вас есть постоянный systemd-journal, они должны появиться там, и вы можете увидеть числовой идентификатор пользователя, который аудит считает ответственным:
28 фев 17:30:32 аудит alan-laptop[18253]: ADD_GROUP pid=18253 uid=0 auid=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success' 28 февр.
17:30:32 аудит alan-laptop[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-user id=1003 exe="/usr/sbin/useradd" hostname=alan-laptop addr=? terminal=pts/1 res=success'