誰かがユーザーを一度追加したと仮定すると、そのsudo人が誰であるかを簡単に確認する方法はありますか?
答え1
彼らがそれを使用したと言ったので、sudoログにこの内容を含めることができます。
たとえば、systemdを使用すると、次のようになります。
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
システム以外のシステムでは、通常、/var/log/secureこのログはまたはにあります/var/log/auth.log。
答え2
提案されているように、これはシステムによって異なります。 Debianでは同じではありませんが、Fedora Linuxではテストされました。
「監査サブシステム」はデフォルトでインストールおよび有効になっています。ユーザーがとして開かれたルートシェルでuseraddを実行している場合でも、これを見つけることができますsudo -i。永続 systemd-journal がある場合は、その項目をここに表示し、監査を担当する数値ユーザー ID を表示できます。
2月28日17:30:32 alan-laptopレビュー[18253]:ADD_GROUP pid=18253 uid=0 補助=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" ホスト名=alan-laptop addr=?ターミナル=pts/1 res=成功' 2月28日
17:30:32 alan-laptop audit[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op 1003 exe="/usr/sbin/useradd" ホスト名=alan-laptop addr=?ターミナル=pts/1 res=成功'