Сpasswd -S user_nameможно узнать, заблокирован ли аккаунт, но есть ли способ узнать, когда он был заблокирован и кем?
Дополнительные ссылки:
решение1
В настоящее время и да, и нет. Сама система безопасности не регистрирует исторические подробности изменений паролей. Поскольку это плоский файл, такой записи было бы сложно быть точной и заслуживающей доверия, если бы доступ к базам данных должен был проходить исключительно через какого-то брокера, то это было бы возможно (вы могли бы просто добавить логику к брокеру), но с общедоступными плоскими файлами это не так. Вот почему многие службы идентификации LDAP/Kerberos допускают этот тип аудита, но локальные пользователи unix испытывают с ним трудности.
Ближайшее, что вы можете сделать, это включить журнал аудита операционной системы, регистрировать все выполнения команд (с параметрами командной строки) и следить за файлами /etc/passwdи /etc/shadow. Если вы можете отследить изменение до определенного периода времени, поиска по записям аудита ОС, вы можете отследить его до вызова "passwd -l" или ручного редактирования кем-то /etc/shadowили /etc/passwd(в случае не скрытого пароля).
РЕДАКТИРОВАТЬ:
Для ясности: passwdутилита по умолчанию в некоторых версиях традиционных UNIX (например, Solaris 9, как я вижу) будет syslog" passwd -l", но я предполагал, что мы работаем в Linux, учитывая версию GNU, passwdи что она все еще недостаточно полна, чтобы ей можно было доверять.
решение2
Вы можете просмотреть резервные копии своей системы, ища две последовательные резервные копии (НиН+1) где пользователь заблокирован /etc/passwdв резервной копииН+1 но не в резервеН.