Помогите разобраться с логами

[cxyzbajrc]

Здравствуйте всем. Помогите разобраться с событиями 10 месячной давности.
Прошу не пинать, я не просто новичек в Ubuntu, или делетант, обстоятельства таковы, что впервые сталкнулся с этой ОС , но нужно разобраться.
По команде last в терминале видим:

alex     tty2         tty2             Wed Feb 23 08:34 - crash (17+10:46)
reboot   system boot  5.13.0-30-generi Mon Jan 10 05:07 - 14:33 (139+08:25)
alex     tty2         tty2             Sun Feb 20 15:42 - crash (-41+10:34)
reboot   system boot  5.13.0-28-generi Sun Feb 20 15:42 - 14:33 (97+21:51)

Здесь видим, что дата\время (10 января) скорее всего было изменено, так как "до" и "после" все ровно. Команда history не показывает каких либо команд на изменение времени\даты (предполагаю все следы удалены).

В логах history.log видим

Start-Date: 2022-02-22 06:52:31 Commandline: /usr/bin/unattended-upgrade Install: linux-image-5.13.0-30-generic:amd64 (5.13.0-30.33, automatic)

У меня по поводу этого два вопроса.
1. Можно ли узнать дату\время редактирования даты (замена на 10 января)?
2. Означает ли верхняя строчка (23 феврвля ) однозначно авторизованный вход с пинкодом в систему?
   

[cxyzbajrc]

Через команду
find / -mtime 299 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

получаю следующее

find: ‘/tmp/systemd-private-dbb15c8fa52449ef9ece9fffe37378ef-bolt.service-kzJ2Nz’: Permission denied
find: ‘/tmp/systemd-private-dbb15c8fa52449ef9ece9fffe37378ef-systemd-timesyncd.service-VmFuLG’: Permission denied
find: ‘/tmp/snap-private-tmp’: Permission denied
2022-02-23 15:48:54.0000000000 /var/lib/dpkg/info/snapd.prerm
2022-02-23 15:48:54.0000000000 /var/lib/dpkg/info/snapd.preinst
2022-02-23 15:48:54.0000000000 /var/lib/dpkg/info/snapd.postrm
2022-02-23 15:48:54.0000000000 /var/lib/dpkg/info/snapd.postinst

на самом деле и выше и ниже еще куча строк.
И по команде find / -atime

find: ‘/tmp/systemd-private-dbb15c8fa52449ef9ece9fffe37378ef-bolt.service-kzJ2Nz’: Permission denied
find: ‘/tmp/systemd-private-dbb15c8fa52449ef9ece9fffe37378ef-systemd-timesyncd.service-VmFuLG’: Permission denied
find: ‘/tmp/snap-private-tmp’: Permission denied
2022-02-24 01:20:23.0000000000 /snap/snap-store/638/usr/lib/x86_64-linux-gnu/libjcat.so.1.0.0
2022-02-24 01:20:23.0000000000 /snap/snap-store/638/usr/lib/x86_64-linux-gnu/libjcat.so.1

Здесь 2 вопроса.

1.Могут ли иметь место modified / accessed , если крышка ноута была закрыта, то есть он был включен , но в спящем режиме?
2.Могут ли быть внутри Permission denied файлов быть иные временные метки (или их история) , чем те, что видятся в свойствах файла?

[ALiEN]

ИМХО, просто сбилось системное время (подсевшая батарейка на матплате). Если машина не отключается от электропитания - то логично, что
"до и после всё ровно". Электричество отрубили, батарейка не смогла отсчитать время. 

Ну либо с системным временем кто-то игрался. Если в дуалбуте Windows - то может там что-то время переводило.

10 месячной давности.

хорошо, что не десятилетней давности =)

[cxyzbajrc]

(подсевшая батарейка на матплате)

для этого случая, вроде как синхронизация активирована, или это не сработает?

Если в дуалбуте Windows - то может там что-то время переводило.

нету винды

Пользователь добавил сообщение 20 Декабря 2022, 12:40:06:Я не правильно, сложно озвучил свои хотелки. Проще и короче будет так. Как отследить действия именно юзера а не ситемы в компьютере, в каких логах, какими командами. Команда find нашла файлы и папки, к которым был доступ, которые изменялись, и даже которые поменяли статус. Но, как оказалось, ноут и спящем режиме работает.
Команда last показала авторизованный вход 23 февраля, но это опять таки не 100% гарантия , видимо что вход был осуществлен юзером.
Другие 2 хотелки выглядят так. Можно ли посмотреть сетевые подключения за произвольные даты, далекие от сегодня и вчера? ss как я понял, здесь не помощник? И можно ли где то подсмотреть, когда переводились часы?
В Windows такая возможность предусмотрена на уровне security.

[cxyzbajrc]

Начал копаться в теме Linux Forensics  и нашел , что есть
who -t, --time        print last system clock change
однако у меня ничего не показывает. К какому логу, журналу эта команда обращается? Мож у меня нету?
Вообще есть варианты отследить, когда менялось ситемное время, хоть юзером, хоть в результате сбоя ?
Еще я нашел, что есть такие Иноды, в них по любому зафиксированы любые изменения , но пока не понял, как с помощью них найти допустим изменение системного времени. Подскажите, кто в курсе этой темы.