Linux 会存储上次更改用户密码时的日期/小时/分钟/秒等信息吗?如果会,使用哪个命令可以查看这些信息?
“chage -l user”仅显示更改密码的日期。
亲切的问候,
答案1
可以通过 -S 查看最近的密码更改
# passwd USERNAME -S
USERNAME PS 2020-11-27 0 99999 7 -1 (SHA512.)
答案2
应该是日志中的一个条目,说明何时passwd运行以及由谁运行,类似于:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
日志文件因发行版而异,/var/log但应该在某个地方,所以像这样的东西应该搜索它们所有(除了旧的 gz 文件,尝试一下zgrep?):
grep -R -i passwd /var/log/*
可能在/var/log/auth.logDebian 或/var/log/secureRedhat 上
但是如果该用户可以运行任何命令,他们也可以编辑日志...因此请注意无限制的 sudo 访问权限。
更多信息:
- 是否记录了 root 密码更改?
- 如何在“sudo su -”中记录命令?- 将 log_input/output 添加到 sudoers、auditctl、snoopylogger 等
- 有关所有用户执行的 sudo 命令的详细信息
- sudo 事件记录在哪里?- 最好的: ”它是远程记录的:xkcd.com/838“