Локальная дата создания учетной записи
Смотрите на эту страницу: http://www.ardamis.com/2009/07/02/usb-drive-unusable-unformattable-and-reporting-0-bytes-capacity/
.. интересное чтение. Короче говоря, автор, выполняя Победу ОС, исследовал функционирующую карту с интерфейсом USB (дефектная палка, и функциональный были оба от SanDisk). Он нашел .dll файл на функциональной палке и URL в dll (творческая идея!), который он пытался вставить в свой браузер. Оказалось что ссылка, ведомая к странице для обновления драйвера SanDisk онлайн!!!
К счастью, для парня, он запускал Проводник MS, посредством чего некоторая стандартная программа ActiveX отформатировала карту с интерфейсом USB к "действительно совсем как новому" состоянию. К сожалению для любого запускающего Linux, OS X и других, "сайт восстановления" выкладывает следующее сообщение:
"Для установки Панели запуска загрузите необходимый компонент ActiveX. Удостоверьтесь, что Ваши настройки безопасности браузера не блокируют подсказку загрузки. Нажмите F5 для перезагрузки страницы".
Конечно, существует возможность рабочего IE на вине. Для именно это я пойду...
Спасибо, Peter Eliasson
Btw, я врезался во все это путем поиска "SM3255AA", фраза, найденная в моем dmesg (палки Transcend 4 Гбит):
usb 1-7: new high-speed USB device number 10 using ehci_hcd
usb 1-7: New USB device found, idVendor=090c, idProduct=3000
usb 1-7: New USB device strings: Mfr=1, Product=2, SerialNumber=0
usb 1-7: Product: SM3255AA MEMORY BAR
usb 1-7: Manufacturer: Silicon Motion,Inc.
scsi6 : usb-storage 1-7:1.0
scsi 6:0:0:0: Direct-Access USB MEMORY BAR 1000 PQ: 0 ANSI: 0 CCS
sd 6:0:0:0: Attached scsi generic sg2 type 0
sd 6:0:0:0: [sdb] Attached SCSI removable disk
Если создан и не тронут с момента создания пользователя, можно использовать файл .bash_logout для определения даты.
В качестве корневого запуска:
ls -l /home/<username>/.bash_logout
ИЛИ, если у пользователя есть домашний каталог, вы можете проверить дату последнего изменения этого каталога:
ls -ld /home/username/
чтобы получить только дату, которую вы можете использовать awk:
ls -ld /home/username/ | awk '{ print $6,$7,$8 }'
Создание учетной записи может быть зарегистрировано. Под Linux (если используется общий набор утилит shadow), useradd делает запись в журнал под подсистемы auth.info. Этот лог обычно находится в /var/log/secure или /var/log/auth.log (это зависит от дистрибутива).
Можно проверить резервные копии /etc/passwd и посмотреть, какая из резервных копий самая младшая, у которой нет этой учетной записи. Я использую и рекомендую etckeeper для отслеживания изменений в /etc, чтобы git annotate /etc/passwd дал мне ответ. (На самом деле git annotate скажет мне, когда пользовательская запись была изменена в последний раз; немного больше копаний, чья автоматизация выходит за рамки этого ответа, скажет мне, когда запись была добавлена)
Если у вас нет журналов аудита, резервных копий и истории ревизий, вам придётся прибегнуть к эвристике. Хорошей подсказкой является файл, чье время изменения кода (ctime) является самым старым. Эта эвристика может лежать в обоих направлениях: если каталог перемещен в дом пользователя, он может содержать файлы со старым временем ctime (но для того, чтобы они были старше пользователя, их uid не должен быть пользовательским, так как изменение uid включает в себя обновление ctime, так что вы можете пропустить те файлы, которые не принадлежат пользователю); наоборот, некоторые события могут изменить время ctime файла (например, если вся система была восстановлена из резервной копии). Вы можете начать с домашнего каталога пользователя (ls -Alctr ~bob | sed -n 2p), который может содержать файлы из /etc/skel, которые пользователь никогда не изменял (.bash_logout является обычным), и посмотреть, есть ли более старые файлы с find ~bob ! -cnewer ~bob/.bash_logout -user bob. С zsh запустите ls -ld ~bob/**/*(Doc[1]u:bob:).
Для локальных пользователей вы можете посмотреть их домашний каталог время рождения для тех систем и файловых систем, которые его записывают (Linux, большинство BSD, по крайней мере macOS ). Как это сделать зависит от системы .
Для пользователей в каталогах LDAP вы можете просмотреть атрибутыcreateTimestamp(или, возможно,whenCreated)соответствующей записи LDAP:
ldapsearch -LLL -x -H ldaps://ldap.example.com -s sub \
-b dc=example,dc=com 'uid=username' createTimestamp whenCreated