长话短说,在最近的公司“重组”之后,我们所有服务器的 root 密码都被神秘地更改了。我首先需要弄清楚如何重新获得 root 访问权限,其次要弄清楚发生了什么(例如,密码是什么时候更改的,以及是谁更改的)。
我可以找到很多关于“如何恢复 root 密码”这个问题的答案,但对于“谁更改了我的 root 密码以及何时更改”这个问题的答案却不多,所以这是我的主要问题,尽管也欢迎其他建议和评论。
答案1
其中/var/log/auth.log
应该有一个类似这样的条目:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
从这里。
请注意,一旦日志满了,您的条目可能会永远消失。
答案2
除了 BloodPhilia 的回应之外...有时这些条目位于 /var/log/messages 或其他文件中。最好尝试以下方法:
cd /var/log
grep -R -i passwd *
...找到条目。
就日志寿命而言,这是我的一台未修改的 Debian 机器的日志档案。即默认日志记录。
/var/log# ls -atlr auth*
-rw-r----- 1 root adm 35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm 78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm 72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm 18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm 18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm 23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log
如您所见,默认情况下它会回溯一段时间(在这种情况下)。