Створення облікового запису може бути зареєстровано. Під Linux (якщо використовується загальний тіньовий набір утиліт), useraddробиться запис журналу під об'єктом auth.info. Цей журнал зазвичай розташований у /var/log/secureабо /var/log/auth.log(це залежить від розповсюдження).
Ви можете перевірити свої резервні копії /etc/passwdта побачити, яка саме молода копія не має цього облікового запису. Я використовую і рекомендую etckeeper для відстеження змін /etc, тому git annotate /etc/passwdя дав би мені відповідь. (Насправді git annotateя сказав би мені востаннє, коли було змінено запис користувача; трохи більше копання, автоматизація якого не входить до цієї відповіді, скаже мені, коли запис буде додано.)
Якщо вам не вистачає журналів аудиту, резервного копіювання та історії версій, вам доведеться вдатися до евристики. Хороший підказки - це файл, час зміни якого в inode (ctime) є найстарішим. Цей евристичний характер може полягати в обох напрямках: якщо каталог переміщується в будинок користувача, він може містити файли зі старим ctime (але для того, щоб вони були старшими за користувача, їх uid не повинен бути таким, як користувач як зміна uid передбачає оновлення ctime, тому ви можете пропустити ті файли, які не належать користувачеві); навпаки, деякі події можуть змінити ctime файлу (наприклад, якщо вся система була відновлена з резервної копії). Ви можете почати з домашнього каталогу користувача ( ls -Alctr ~bob| sed -n 2p), який може містити файли, /etc/skelякі користувач ніколи не змінював ( .bash_logoutє загальним), і дивіться, чи існують старіші файли find ~bob ! -cnewer ~bob/.bash_logout -user bob. З zsh, біжиls -ld ~bob/**/*(Doc[1]u:bob:).
/var/log/auth.log(можливо , доведеться шукати в повернених колодах , а також:/var/log/auth.log.1,/var/log/auth.log.2.gz, ...). Це дасть вам уявлення про перше побачення автентифікації облікового запису користувача. Це не працюватиме для користувачів системи, але також вийде з ладу, якщо облікові записи були створені раніше, ніжsyslogперіод обертання журналу.