Compasswd -S user_namepode-se descobrir se uma conta está bloqueada, mas existe uma maneira de descobrir quando ela foi bloqueada e quem foi bloqueada?
Outros links:
Responder1
Atualmente, sim e não. O próprio sistema de segurança não registra detalhes históricos de alterações de senha. Como é um arquivo simples, seria difícil que tal registro fosse preciso e confiável, se o acesso aos bancos de dados tivesse que passar exclusivamente por algum tipo de corretor, então seria possível (você poderia simplesmente adicionar a lógica ao corretor) , mas com arquivos simples amplamente acessíveis, nem tanto. É por isso que muitos serviços de identidade LDAP/Kerberos permitem esse tipo de auditoria, mas os usuários locais do Unix têm dificuldade com isso.
O mais próximo que você pode chegar é ativar o log de auditoria do sistema operacional, registrar todas as execuções de comandos (com opções de linha de comando) e observar os arquivos /etc/passwde /etc/shadow. Se você puder rastrear a alteração em um determinado período de tempo pesquisado nos registros de auditoria do sistema operacional, poderá rastreá-la até uma invocação "passwd -l" ou alguém editando manualmente /etc/shadowou /etc/passwd(no caso de senha não ocultada).
EDITAR:
Para esclarecer, o utilitário padrão passwdem algumas versões do UNIX tradicional (como o Solaris 9, estou vendo) será syslog" passwd -l", mas presumi que estávamos no Linux, dada a versão GNU passwde que ainda não está completa o suficiente para ser confiável.
Responder2
Você pode passar pelos backups do sistema, procurando dois backups consecutivos (NeN+1) onde o usuário está bloqueado /etc/passwdno backupN+1, mas não no backupN.