neuer user erstellt mitgeloggt

[DebianUser82]

Hallo zusammen,

ich bin auf der Suche nach einer Möglichkeit, festzustellen wann am System ein neuer Benutzer erstellt wurde?!
Dies müsste doch irgendwie mitgeloggt werden ? Jedoch bin ich bis dato nicht fündig geworden . Vielleicht
weiss ja jemand von euch weiter.

grüße

[Snoopy]

Hi und herzlich Willkommen im Forum!

evtl. hilft Dir das weiter:
Wenn Du in das Home-Directory des Users schaust und die Dateien

Code: Alles auswählen

.bash_logout
.bashrc
.profile

anschaust, sind diese Files von der Zeit her identisch?

Sofern dort an den Dateien nicht in der zwischenzeit etwas verändert wurde, könnte das auf das Erstellungsdatum hindeuten.
Das ist sicherlich nur ein Workaround und nicht unbedingt aussagekräftig.
Bei mir sieht es bzgl. den Dateien so aus:

Code: Alles auswählen

-rw-r--r-- 1 andreas andreas  220 14. Jan 2009  .bash_logout
-rw-r--r-- 1 andreas andreas  221 14. Jan 2009  .bashrc
-rw-r--r-- 1 andreas andreas  675 14. Jan 2009  .profile

Ergo: 14.01.2009

Das deckt sich auch mit der folgenden Massnahme:
Weiterhin könntest Du mal einen

Code: Alles auswählen

grep -iR DerUsername /var/log/*

laufen lassen.
Bei mir kommt das Ergebnis bei meinem User

Code: Alles auswählen

/var/log/installer/syslog:Jan 14 14:06:08 user-setup: Adding user `andreas' ...
/var/log/installer/syslog:Jan 14 14:06:08 user-setup: Adding new group `andreas' (1000) ...
[...]

raus.
Evtl. findest Du damit ja den gewünschten Eintrag.

U.U. ist allerdings in den Logs dank Logrotate nichts mehr vorhanden
Wenn es in einer SysLog protokolliert wurde, die mittlerweile nicht mehr im System ist...nun dann weiss ich derzeit auch nicht weiter.

[DebianUser82]

Herzlichen Dank erst mal für die sehr umfangreiche Anleitung wie man
an das Datum kommen könnte.
Ich werde dies mal ausprobieren und dann posten ob es zum gewünschten
Erfolg geführt hat.
Kann man eigentlich das Logrotate von den Werten verändern , so dass er die Logs nicht
mehr löscht bzw. überschreibt?

gruß

[Snoopy]

Hi,

Kann man eigentlich das Logrotate von den Werten verändern

Ja das geht. Aber mit Vorsicht zu geniessen!
Wenn Du dabei irgendwas falsch einstellst oder komplett abschaltest usw., könnte das Filesystem wo /var liegt, vollaufen.
Je nachdem wieviel auf dem Rechner los ist und wieviel geloggt wird.

Es gibt zum Einen

Code: Alles auswählen

/etc/logrotate.conf

Aber am Wichtigsten ist, dass Du Dich damit vertraut machst

Code: Alles auswählen

man logrotate

Ich selbst habe logrotate noch nicht beeinflusst, habe bisher nie den Grund für gehabt.