¿Linux almacena dicha información sobre la fecha/hora/minuto/segundo cuando se cambió la contraseña del usuario la última vez? Si es así, ¿con qué comando puedo verlo?
"chage -l usuario" muestra solo el día en que se cambió la contraseña.
atentamente,
Respuesta1
Los cambios recientes de contraseña se pueden ver a través de -S
# passwd USERNAME -S
USERNAME PS 2020-11-27 0 99999 7 -1 (SHA512.)
Respuesta2
Debería haber una entrada en un registro que indique cuándo passwdfue ejecutado y por quién, similar a:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
El archivo de registro varía según la distribución, /var/logaunque debería estar en algún lugar, por lo que algo como esto debería buscarlos en todos (excepto tal vez en archivos gz antiguos, ¿lo intentas zgrep?):
grep -R -i passwd /var/log/*
Probablemente en /var/log/auth.logDebian o /var/log/secureen Redhat
Pero si este usuario puede ejecutar algún comando, también podría editar registros... así que esté atento al acceso ilimitado a sudo.
Más información:
- ¿Se registran los cambios de contraseña de root?
- ¿Cómo registrar comandos dentro de un “sudo su -”?- Agregue log_input/output a sudoers, auditctl, snoopylogger, ...
- Detalles sobre los comandos sudo ejecutados por todos los usuarios
- ¿Dónde se registran los incidentes de sudo?- Mejor: "Está registrado de forma remota:xkcd.com/838"