当用户更改其密码或其他用户的密码时,如何捕获(如果某处有日志文件)?
我看到此日志,但无法确定谁更改了用户 XXXX 的密码
3 月 31 日 12:41:52 UBGGH 密码:pam_unix(passwd:chauthtok):XXXX 的密码已更改
我用的是centos 7版本
答案1
要么是用户XXXX更改了该密码,要么是 root 更改了该密码。
如果您已sudo启用允许其他用户获得 root 权限,则其中一个用户可能会使用它passwd以 root 身份运行。通常,在使用时会写入日志消息sudo,但当然,如果用户具有 root 权限,他们可能会删除或以其他方式篡改日志记录。
展望未来,您可以使用lastcomm或更详细的审核子系统来跟踪哪个用户运行了哪些命令。例如,
lastcomm passwd
passwd root __ 0.01 secs Thu Jun 9 07:25