ローカルアカウント作成日

Question

アカウントの作成が記録されることがあります。 Linuxでは（Universal Shadowユーティリティスイートを使用している場合）、ツールのuseradd下にログエントリを作成しますauth.info。このログは通常、/var/log/secureまたは/var/log/auth.log（配布盤に応じて）にあります。

このアカウントがなくてもバックアップを確認/etc/passwdし、最新のバックアップが何であるかを確認できます。使用してお勧めしますマネージャーをお待ちください変更を追跡する/etcとgit annotate /etc/passwd答えが得られます。（実際にgit annotateユーザー項目が最後に変更された時期をお知らせします。この回答の範囲を超えて自動化をさらに詳しく見ると、その項目が追加された時期がわかります。）

監査ログ、バックアップ、修正履歴が不足している場合は、ヒューリスティックを使用する必要があります。良い手がかりは、最も古いファイルのinode変更時間（ctime）です。この経験的な方法は両方の方法で機能できます。ディレクトリがユーザーのホームディレクトリに移動されると、古いctimeを含むファイルが含まれる可能性があります（ただし、ユーザーより古いファイルの場合、そのuidは変更時にユーザーのuidである必要はありません）。 ctime アップデートが含まれているため、ユーザーに属していないファイルをスキップできます。逆に、特定のイベントはファイルのctimeを変更する可能性があります（たとえば、システム全体がバックアップから復元される場合など）。ユーザーが一度も変更したことのないファイルをls -Alctr ~bob含めることができる（通常の場合）、ユーザーのホームディレクトリ（| sed -n 2p）から始めて、.sed拡張子を持つ古いファイルがあるかどうかを確認できます。 zshを使用して。/etc/skel.bash_logoutfind ~bob ! -cnewer ~bob/.bash_logout -user bobls -ld ~bob/**/*(Doc[1]u:bob:)

Answer 1

アカウントの作成が記録されることがあります。 Linuxでは（Universal Shadowユーティリティスイートを使用している場合）、ツールのuseradd下にログエントリを作成しますauth.info。このログは通常、/var/log/secureまたは/var/log/auth.log（配布盤に応じて）にあります。

このアカウントがなくてもバックアップを確認/etc/passwdし、最新のバックアップが何であるかを確認できます。使用してお勧めしますマネージャーをお待ちください変更を追跡する/etcとgit annotate /etc/passwd答えが得られます。（実際にgit annotateユーザー項目が最後に変更された時期をお知らせします。この回答の範囲を超えて自動化をさらに詳しく見ると、その項目が追加された時期がわかります。）

監査ログ、バックアップ、修正履歴が不足している場合は、ヒューリスティックを使用する必要があります。良い手がかりは、最も古いファイルのinode変更時間（ctime）です。この経験的な方法は両方の方法で機能できます。ディレクトリがユーザーのホームディレクトリに移動されると、古いctimeを含むファイルが含まれる可能性があります（ただし、ユーザーより古いファイルの場合、そのuidは変更時にユーザーのuidである必要はありません）。 ctime アップデートが含まれているため、ユーザーに属していないファイルをスキップできます。逆に、特定のイベントはファイルのctimeを変更する可能性があります（たとえば、システム全体がバックアップから復元される場合など）。ユーザーが一度も変更したことのないファイルをls -Alctr ~bob含めることができる（通常の場合）、ユーザーのホームディレクトリ（| sed -n 2p）から始めて、.sed拡張子を持つ古いファイルがあるかどうかを確認できます。 zshを使用して。/etc/skel.bash_logoutfind ~bob ! -cnewer ~bob/.bash_logout -user bobls -ld ~bob/**/*(Doc[1]u:bob:)

ローカルアカウント作成日

ベストアンサー1

おすすめ記事