Ngày tạo tài khoản cục bộ

Đối với mục đích tuân thủ, cần phải tìm nạp thông tin về ngày tạo tài khoản cục bộ (người dùng và không sử dụng) trên các máy UNIX.

Có cách nào (ngay cả khi đó không phải là phương pháp đáng tin cậy hoặc chính xác nhất) để thu thập loại thông tin đó?

Chẳng hạn, thay vào đó, tôi đã tìm kiếm homengày tạo thư mục (đối với tài khoản người dùng), nhưng tôi phát hiện ra rằng đối với dấu thời gian của hệ thống tuân thủ POSIX để tạo tệp không khả dụng.

Nếu được tạo và không được chạm kể từ khi người dùng tạo, bạn có thể sử dụng .bash_logouttệp để xác định ngày. Khi chạy root:

ls -l /home/<username>/.bash_logout

HOẶC, Nếu người dùng có thư mục chính, bạn có thể kiểm tra ngày sửa đổi cuối cùng của thư mục đó:

ls -ld /home/username/

để chỉ nhận ngày bạn có thể sử dụng awk:

ls -ld /home/username/ | awk '{ print $6,$7,$8 }'

nguồn

Tạo tài khoản có thể được ghi lại. Trong Linux (nếu sử dụng bộ tiện ích bóng chung), hãy useraddtạo một mục nhật ký trong cơ sở auth.info. Nhật ký này thường được đặt trong /var/log/securehoặc /var/log/auth.log(nó phụ thuộc vào phân phối).

Bạn có thể kiểm tra các bản sao lưu của mình /etc/passwdvà xem đâu là bản sao lưu trẻ nhất không có tài khoản này. Tôi sử dụng và khuyên etckeeper để theo dõi những thay đổi trong /etc, vì vậy git annotate /etc/passwdsẽ cho tôi câu trả lời. (Trên thực tế git annotatesẽ cho tôi biết lần cuối cùng một mục nhập của người dùng đã được thay đổi; việc đào thêm một chút mà tự động hóa nằm ngoài phạm vi của câu trả lời này sẽ cho tôi biết khi nào mục nhập được thêm vào.)

Nếu bạn thiếu nhật ký kiểm toán, sao lưu và lịch sử sửa đổi, bạn sẽ phải dùng đến phương pháp phỏng đoán. Một manh mối tốt là tệp có thời gian thay đổi inode (ctime) là cũ nhất. Heuristic này có thể nói dối cả hai cách: nếu một thư mục được chuyển vào nhà của người dùng, nó có thể chứa các tệp có thời gian cũ (nhưng đối với chúng cũ hơn người dùng, uid của họ sẽ không phải là của người dùng như một sự thay đổi của uid liên quan đến việc cập nhật ctime, vì vậy bạn có thể bỏ qua những tệp không thuộc quyền sở hữu của người dùng); ngược lại, một số sự kiện có thể thay đổi thời gian của tệp (ví dụ: nếu toàn bộ hệ thống được khôi phục từ bản sao lưu). Bạn có thể bắt đầu từ thư mục chính của người dùng ( ls -Alctr ~bob| sed -n 2p), có thể chứa các tệp /etc/skelmà người dùng chưa bao giờ sửa đổi ( .bash_logoutlà một tệp phổ biến) và xem có tệp cũ hơn không find ~bob ! -cnewer ~bob/.bash_logout -user bob. Với zsh, chạyls -ld ~bob/**/*(Doc[1]u:bob:).

$ chage -l fred

Kiểm tra ngày thay đổi mật khẩu.

Đối với người dùng cục bộ, bạn có thể xem thời gian sinh thư mục chính của họ cho các hệ thống và hệ thống tệp ghi lại nó (ít nhất là Linux, hầu hết các BSD, macOS). Làm thế nào để làm điều đó thay đổi với hệ thống .

Đối với người dùng trong các thư mục LDAP, bạn có thể xem các thuộc tính createTimestamp(hoặc có thể whenCreated) của mục nhập LDAP tương ứng của họ:

ldapsearch -LLL -x -H ldaps://ldap.example.com -s sub \
  -b dc=example,dc=com 'uid=username' createTimestamp whenCreated