Mitpasswd -S user_nameMan kann herausfinden, ob ein Konto gesperrt ist, aber gibt es eine Möglichkeit herauszufinden, wann es gesperrt wurde und wer gesperrt wurde?
Weiterführende Links:
Antwort1
Derzeit ja und nein. Das Sicherheitssystem selbst protokolliert keine historischen Details von Passwortänderungen. Da es sich um eine Flatfile handelt, wäre es schwierig, einen solchen Datensatz genau und vertrauenswürdig zu machen. Wenn der Zugriff auf die Datenbanken ausschließlich über eine Art Broker erfolgen müsste, wäre dies möglich (Sie könnten die Logik einfach dem Broker hinzufügen), aber bei allgemein zugänglichen Flatfiles ist dies nicht so sehr der Fall. Aus diesem Grund erlauben viele LDAP/Kerberos-Identitätsdienste diese Art der Prüfung, aber lokale Unix-Benutzer haben damit Schwierigkeiten.
Am nächsten kommen Sie dem, indem Sie die Überwachungsprotokollierung des Betriebssystems aktivieren, alle Befehlsausführungen protokollieren (mit Befehlszeilenoptionen) und die /etc/passwdund /etc/shadow-Dateien überwachen. Wenn Sie die Änderung auf einen bestimmten Zeitraum zurückverfolgen können, suchen Sie in den Überwachungsaufzeichnungen des Betriebssystems nach. Möglicherweise können Sie sie auf einen Aufruf von „passwd -l“ oder eine manuelle Bearbeitung durch jemanden zurückverfolgen /etc/shadow( /etc/passwdim Fall eines nicht verdeckten Passworts).
BEARBEITEN:
Zur Klarstellung: Das Standarddienstprogramm passwdeiniger Versionen des traditionellen UNIX (wie ich sehe, Solaris 9) verwendet syslogdas " passwd -l", aber ich nahm an, dass wir Linux verwenden, passwdda die GNU-Version noch nicht vollständig ist, um vertrauenswürdig zu sein.
Antwort2
Sie können Ihre Systemsicherungen durchgehen und nach zwei aufeinanderfolgenden Sicherungen suchen (NUndN/etc/passwd+1) wenn der Benutzer im Backup gesperrt istN+1, aber nicht im BackupN.