지난번에 사용자 비밀번호 제공이 변경되었을 때 Linux는 날짜/시간/분/초에 대한 정보를 저장합니까? 그렇다면 어떤 명령으로 볼 수 있나요?
"chage -l user"는 비밀번호가 변경된 날짜만 표시합니다.
감사합니다,
답변1
최근 비밀번호 변경 사항은 -S를 통해 확인할 수 있습니다.
# passwd USERNAME -S
USERNAME PS 2020-11-27 0 99999 7 -1 (SHA512.)
답변2
passwd다음과 유사하게 언제 실행했는지, 누가 실행했는지 알려주는 항목이 로그에 있어야 합니다 .
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
로그 파일은 배포판에 따라 다르지만 어딘가에 있어야 하므로 /var/log다음과 같은 파일이 모두 검색되어야 합니다(오래된 gz 파일 제외, 시도해 보세요 zgrep).
grep -R -i passwd /var/log/*
아마도 /var/log/auth.logDebian이나 /var/log/secureRedhat에 있을 것입니다.
하지만 이 사용자가 어떤 명령이라도 실행할 수 있다면 로그도 편집할 수 있으므로 무제한 sudo 액세스에 주의하세요.
더 많은 정보:
- 루트 비밀번호 변경 사항이 기록됩니까?
- "sudo su -" 내에 명령을 기록하는 방법은 무엇입니까?- sudoers, auditctl, snoopylogger 등에 log_input/output을 추가합니다.
- 모든 사용자가 실행한 sudo 명령에 대한 세부정보
- sudo 사건은 어디에 기록되나요?- 최상의: "원격으로 기록됩니다.xkcd.com/838"