有没有人可以确定何时在Linux上创build用户? 我知道一些可以做的事情,但这是不可靠的。 第一个选项是检查主目录的创build时间,运行命令ls -ld /home/user
查看时间戳。 然后可以select检查bash_logout
或bash_logout
: ls -l /home/user/.bash_profile
和ls -l /home/.bash_logout
。 请帮助我一个更可靠的方式来做到这一点!
Fedora,很漂亮的RedHatty,似乎logging了useradd的使用,即使在被root(而不是通过sudo,当然也会留下日志)调用的时候:
[root@anni log]# useradd foo [root@anni log]# tail /var/log/secure Sep 13 16:15:15 anni useradd[17621]: new group: name=foo, GID=502 Sep 13 16:15:15 anni useradd[17621]: new user: name=foo, UID=502, GID=502, home=/home/foo, shell=/bin/bash
你保留/var/log/secure
旧版本的时间是你和你的logrotateconfiguration的一个问题。
AFAIK,默认情况下,Linux不logging创builddate。
你可以监视useradd条目的/var/log/secure
:
Sep 13 17:11:08 *** useradd[27220]: new group: name=test, GID=515 Sep 13 17:11:08 *** useradd[27220]: new user: name=test, UID=514, GID=515, home=/home/test, shell=/bin/bash
当然,如果用户是以其他方式创build的(例如,直接编辑/etc/passwd
),那么你将会失败。
您可以随时通过存储副本来监视/etc/passwd
的更改,并在每次检查时将其与旧副本进行比较。
我不知道用户创build时间,但第一个用户login将在/var/log/auth.log
。 假设用户在创build用户之后立即login以设置他/她的密码。 用户主目录中的任何内容都不可靠,因为用户可以覆盖它。