Conpasswd -S user_nameSe puede saber si una cuenta está bloqueada, pero ¿hay alguna forma de saber cuándo se bloqueó y a quién se bloqueó?
Enlaces adicionales:
Respuesta1
Actualmente sí y no. El sistema de seguridad en sí no registra detalles históricos de los cambios de contraseña. Dado que es un archivo plano, sería difícil que dicho registro sea preciso y confiable; si el acceso a las bases de datos tuviera que pasar exclusivamente por algún tipo de intermediario, entonces sería posible (simplemente podría agregar la lógica al intermediario). , pero con archivos planos ampliamente accesibles, no tanto. Esta es la razón por la que muchos servicios de identidad LDAP/Kerberos permiten este tipo de auditoría, pero los usuarios locales de Unix tienen dificultades con ello.
Lo más cerca que puede estar es habilitar el registro de auditoría del sistema operativo, registrar todas las ejecuciones de comandos (con opciones de línea de comandos) y observar los archivos /etc/passwdy /etc/shadow. Si puede rastrear el cambio para buscarlo en un período de tiempo determinado en los registros de auditoría del sistema operativo, es posible que pueda rastrearlo hasta una invocación "passwd -l" o alguien que edite manualmente /etc/shadowo /etc/passwd(en el caso de una contraseña no oculta).
EDITAR:
Para aclarar, la utilidad predeterminada passwden algunas versiones de UNIX tradicional (como Solaris 9, estoy viendo) será syslog" passwd -l" pero supuse que estábamos en Linux dada la versión GNU passwdy que aún no está lo suficientemente completa como para ser confiable.
Respuesta2
Puede revisar las copias de seguridad de su sistema y buscar dos copias de seguridad consecutivas (norteynorte+1) donde el usuario está bloqueado /etc/passwden la copia de seguridadnorte+1 pero no en respaldonorte.