Hesap oluşturma günlüğe kaydedilebilir. Linux altında (ortak gölge yardımcı programı kullanıyorsanız), useradd
tesisin altında bir günlük girişi yapar auth.info
. Bu günlük genellikle /var/log/secure
veya içinde bulunur /var/log/auth.log
(dağıtıma bağlıdır).
Yedeklemelerinizi kontrol edebilir /etc/passwd
ve bu hesaba sahip olmayan en genç yedeklemenin hangisi olduğunu görebilirsiniz. Etckeeper'ı değişiklikleri takip etmek için kullanıyorum ve tavsiye ediyorum/etc
, bu yüzden git annotate /etc/passwd
bana cevap vereceğim. (Aslında git annotate
bir kullanıcının girişinin en son ne zaman değiştirildiğini söylerdi; otomasyonu bu cevabın kapsamı dışında kalan biraz daha fazla kazma, girişin ne zaman eklendiğini söylerdi.)
Denetim günlükleri, yedeklemeler ve düzeltme geçmişiniz yoksa, buluşsal yöntemlere başvurmanız gerekir. İyi bir ipucu, inode değiştirme süresi (ctime) en eskisi olan dosyadır. Bu sezgisel tarama her iki şekilde de uzanabilir: eğer bir dizin kullanıcının evine taşınırsa, eski bir ctime değerine sahip dosyalar içerebilir (ancak kullanıcılardan daha eski olmaları için, kullanıcı kimlikleri değişiklik olarak kullanıcınınki gibi olmamalıdır uid, ctime'ın güncellenmesini içerir, böylece kullanıcının sahibi olmayan dosyaları atlayabilirsiniz); tersine, bazı olaylar bir dosyanın ctime değerini değiştirebilir (örneğin, tüm sistem bir yedeklemeden geri yüklendiyse). Kullanıcının hiç değiştirmediği ( ortak bir ls -Alctr ~bob
dosyadır) dosyaları içerebilen kullanıcının ana dizininden ( | sed -n 2p) başlayabilir ve daha eski dosyalar olup olmadığını görebilirsiniz . Zsh ile çalıştırın/etc/skel
.bash_logout
find ~bob ! -cnewer ~bob/.bash_logout -user bob
ls -ld ~bob/**/*(Doc[1]u:bob:)
.
/var/log/auth.log
(siz de döndürülmüş günlüklerine gerekebilir:/var/log/auth.log.1
,/var/log/auth.log.2.gz
, ...). Bu, kullanıcı hesabının kimliğinin doğrulandığı ilk tarih hakkında size bir ipucu verecektir. Bu sistem kullanıcıları için çalışmaz ve hesaplarsyslog
günlüğünüzün rotasyon döneminden daha uzun bir süre önce oluşturulduysa da başarısız olur .