和passwd -S user_name人們可以找出帳號是否被鎖定,但有沒有辦法找出帳號何時被鎖定以及鎖定的物件是誰?
更多連結:
答案1
目前,是和否。安全系統本身不會記錄密碼變更的歷史詳細資訊。由於它是一個平面文件,因此這樣的記錄很難準確且值得信賴,如果對資料庫的存取必須透過某種代理進行獨佔,那麼這是可能的(您只需將邏輯添加到代理即可) ,但對於可廣泛存取的平面文件來說,情況就不那麼嚴重了。這就是為什麼許多 LDAP/Kerberos 身分服務允許這種類型的審核,但本地 UNIX 使用者很難使用它。
您可以獲得的最接近的是啟用作業系統審核日誌記錄,記錄所有命令執行(使用命令列選項)並監視/etc/passwd和/etc/shadow檔案。如果您可以追蹤變更是在作業系統審核記錄中搜尋的某個時間段內發生的,那麼您也許可以將其追溯到「passwd -l」呼叫或某人手動編輯/etc/shadow或/etc/passwd(如果是未隱藏的密碼) 。
編輯:
澄清一下,passwd傳統 UNIX 的某些版本(如 Solaris 9,我看到的)上的預設實用程式將是syslog“ passwd -l”,但我假設我們使用的是 Linux passwd,因為 GNU 版本仍然不夠完整,不值得信賴。
答案2
您可以檢查系統備份,尋找兩個連續的備份(氮和氮+1) 使用者/etc/passwd在備份中被鎖定的位置氮+1 但不在備份中氮。