當上次更改使用者密碼時,Linux 是否儲存有關日期/小時/分鐘/秒的資訊?如果有的話用什麼指令可以查看?
“chage -l user”僅顯示更改密碼的日期。
親切的問候,
答案1
透過-S可以看到最近的密碼更改
# passwd USERNAME -S
USERNAME PS 2020-11-27 0 99999 7 -1 (SHA512.)
答案2
應該是日誌中的一個條目,說明何時passwd運行以及由誰運行,類似於:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
日誌檔案因發行版而異,但應該位於其中的某個位置/var/log,因此類似這樣的內容應該搜尋所有這些文件(除了舊的 gz 文件,嘗試一下zgrep?):
grep -R -i passwd /var/log/*
可能在/var/log/auth.logDebian 或/var/log/secureRedhat 上
但是,如果該使用者可以運行任何命令,他們也可以編輯日誌...因此請注意無限制的 sudo 存取。
更多資訊:
- 是否記錄 root 密碼更改?
- 如何在“sudo su -”中記錄命令?- 將 log_input/output 加入 sudoers、auditctl、snoopylogger 等
- 有關所有用戶執行的 sudo 命令的詳細信息
- sudo 事件記錄在哪裡?- 最好的: ”它是遠端記錄的:xkcd.com/838」