La creación de la cuenta puede ser registrada. En Linux (si usa el conjunto de utilidades de sombra común), useradd
realiza una entrada de registro en la instalación auth.info
. Este registro generalmente se encuentra en /var/log/secure
o /var/log/auth.log
(depende de la distribución).
Puede verificar sus copias de seguridad /etc/passwd
y ver cuál es la copia de seguridad más joven que no tiene esta cuenta. Utilizo y recomiendo etckeeper para realizar un seguimiento de los cambios /etc
, por git annotate /etc/passwd
lo que me daría la respuesta. (En realidad git annotate
, me diría la última vez que se modificó la entrada de un usuario; un poco más de excavación cuya automatización está fuera del alcance de esta respuesta me diría cuándo se agregó la entrada).
Si carece de registros de auditoría, copias de seguridad e historial de revisiones, deberá recurrir a la heurística. Una buena pista es el archivo cuyo tiempo de cambio de inodo (ctime) es el más antiguo. Esta heurística puede encontrarse en ambos sentidos: si un directorio se mueve a la página de inicio del usuario, puede contener archivos con un ctime antiguo (pero para que sean más antiguos que el usuario, su UID no debería ser el del usuario como un cambio de uid implica actualizar el ctime, por lo que puede omitir aquellos archivos que no son propiedad del usuario); por el contrario, algunos eventos pueden cambiar el ctime de un archivo (por ejemplo, si todo el sistema se restauró desde una copia de seguridad). Puede comenzar desde el directorio de inicio del usuario ( ls -Alctr ~bob
| sed -n 2p), que puede contener archivos /etc/skel
que el usuario nunca ha modificado ( .bash_logout
es común), y ver si hay archivos más antiguos find ~bob ! -cnewer ~bob/.bash_logout -user bob
. Con zsh, correls -ld ~bob/**/*(Doc[1]u:bob:)
.
/var/log/auth.log
(puede que tenga que buscar en los registros alternos así:/var/log/auth.log.1
,/var/log/auth.log.2.gz
, ...). Esto le dará una pista sobre la primera fecha de autenticación de la cuenta de usuario. Sin embargo, esto no funcionará para los usuarios del sistema y también fallará si las cuentas se crearon hace más tiempo que elsyslog
período de rotación de registros de su cuenta.