speichert Linux Informationen wie Datum/Stunde/Minute/Sekunde, wann das Benutzerkennwort zum letzten Mal geändert wurde? Wenn ja, mit welchem Befehl kann ich diese Informationen anzeigen?
„chage -l user“ zeigt nur den Tag an, an dem das Passwort geändert wurde.
Mit freundlichen Grüße,
Antwort1
Letzte Passwortänderungen können über -S eingesehen werden
# passwd USERNAME -S
USERNAME PS 2020-11-27 0 99999 7 -1 (SHA512.)
Antwort2
Es sollte ein Eintrag in einem Protokoll vorhanden sein, der angibt, wann passwdund von wem es ausgeführt wurde, ähnlich wie:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
Die Protokolldatei variiert je nach Distribution, sollte sich /var/logaber irgendwo darin befinden, sodass etwas wie das Folgende sie alle durchsuchen sollte (außer vielleicht alte gz'd-Dateien, versuchen Sie es mal zgrep?):
grep -R -i passwd /var/log/*
Wahrscheinlich auf /var/log/auth.logDebian oder /var/log/secureRedhat
Aber wenn dieser Benutzer beliebige Befehle ausführen kann, könnte er auch Protokolle bearbeiten. Achten Sie also auf uneingeschränkten Sudo-Zugriff.
Mehr Info:
- Werden Root-Passwortänderungen protokolliert?
- Wie protokolliere ich Befehle innerhalb eines „sudo su -“?- Fügen Sie log_input/output zu sudoers, auditctl, snoopylogger usw. hinzu.
- Details zu den von allen Benutzern ausgeführten Sudo-Befehlen
- Wo werden Sudo-Vorfälle protokolliert?- Am besten: "Es wird remote protokolliert:xkcd.com/838"