如何找出誰添加了用戶？

Question 1

既然您提到他們使用了sudo，您的日誌中可能會包含此內容。

例如，使用 systemd：

% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]:    cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar

在非 systemd 系統上，您通常可以在/var/log/secure或處找到此日誌/var/log/auth.log。

Answer

既然您提到他們使用了sudo，您的日誌中可能會包含此內容。

例如，使用 systemd：

% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]:    cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar

在非 systemd 系統上，您通常可以在/var/log/secure或處找到此日誌/var/log/auth.log。

Question 2

正如所建議的，這因係統而異。在 Debian 上不一樣，但在 Fedora linux 上測試：

預設安裝並啟用「審核子系統」。即使使用者從使用開啟的 root shell 執行 useradd ，您也可以發現sudo -i。如果您有持久的 systemd-journal，它們應該出現在那裡，並且您可以看到審計負責的數位使用者 ID：

2 月 28 日 17:30:32 alan-laptop 審核[18253]：ADD_GROUP pid=18253 uid=0 auid=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" 主機名稱=alan-laptop addr=？ Terminal=pts/1 res=success' 2 月 28 日

17:30:32 alan-laptop 審計 [18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0。 =1003 exe="/usr/sbin/useradd" 主機名稱=alan-laptop addr=？終端=pts/1 res=成功'

Answer

正如所建議的，這因係統而異。在 Debian 上不一樣，但在 Fedora linux 上測試：

預設安裝並啟用「審核子系統」。即使使用者從使用開啟的 root shell 執行 useradd ，您也可以發現sudo -i。如果您有持久的 systemd-journal，它們應該出現在那裡，並且您可以看到審計負責的數位使用者 ID：

2 月 28 日 17:30:32 alan-laptop 審核[18253]：ADD_GROUP pid=18253 uid=0 auid=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" 主機名稱=alan-laptop addr=？ Terminal=pts/1 res=success' 2 月 28 日

17:30:32 alan-laptop 審計 [18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0。 =1003 exe="/usr/sbin/useradd" 主機名稱=alan-laptop addr=？終端=pts/1 res=成功'

如何找出誰添加了用戶？

答案1

答案2

相關內容