如何检查哪个用户更改了自己或其他用户的密码?

如何检查哪个用户更改了自己或其他用户的密码?

当用户更改其密码或其他用户的密码时,如何捕获(如果某处有日志文件)?

我看到此日志,但无法确定谁更改了用户 XXXX 的密码

3 月 31 日 12:41:52 UBGGH 密码:pam_unix(passwd:chauthtok):XXXX 的密码已更改

我用的是centos 7版本

答案1

要么是用户XXXX更改了该密码,要么是 root 更改了该密码。

如果您已sudo启用允许其他用户获得 root 权限,则其中一个用户可能会使用它passwd以 root 身份运行。通常,在使用时会写入日志消息sudo,但当然,如果用户具有 root 权限,他们可能会删除或以其他方式篡改日志记录。

展望未来,您可以使用lastcomm或更详细的审核子系统来跟踪哪个用户运行了哪些命令。例如,

lastcomm passwd
passwd                 root     __         0.01 secs Thu Jun  9 07:25

相关内容