хранит ли linux такую информацию о дате/часах/минутах/секундах, когда пароль пользователя был изменен в последний раз? Если да, то с помощью какой команды можно ее просмотреть?
«chage -l user» показывает только день смены пароля.
С уважением,
решение1
Последние изменения пароля можно увидеть с помощью -S
# passwd USERNAME -S
USERNAME PS 2020-11-27 0 99999 7 -1 (SHA512.)
решение2
В журнале должна быть запись о том, когда passwdи кем была запущена операция, например:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
Файл журнала различается в зависимости от дистрибутива, но должен быть где-то там /var/log, поэтому что-то вроде этого должно выполнить поиск по всем файлам (кроме, может быть, старых файлов gz, попробуйте zgrep?):
grep -R -i passwd /var/log/*
Вероятно, в /var/log/auth.logDebian или /var/log/secureRedhat.
Но если этот пользователь может запускать любые команды, он также может редактировать журналы... так что следите за неограниченным доступом sudo.
Больше информации:
- Регистрируются ли изменения пароля root?
- Как регистрировать команды в «sudo su -»?- Добавить log_input/output в sudoers, auditctl, snoopylogger, ...
- Подробная информация о командах sudo, выполненных всеми пользователями
- Где регистрируются инциденты sudo?- Лучший: "Это регистрируется удаленно:xkcd.com/838"