我在实验室安装了 RHEL 5.7,有人更改了 root 密码(通过 linux single 或其他模式)。我想确定它是如何完成的,并且基本上能够确定这是如何完成的时间表。
答案1
使用 chage 命令。它显示上次密码更改的确切日期。尝试chage -l root
或chage -l username
。
答案2
可能有用的:
last
并blast
查看系统上的所有登录/重新启动。
如果此后没有更改过其他密码,则 /etc/shadow 的修改时间也会指示密码更改的时间...
至于方法,在我查看的框中,PAM 将密码更改记录在 /var/log/secure 中,至少如果passwd
使用过的话...如果没有显示任何内容,请尝试查看 shell 命令历史记录。如果用户编辑了一个密码,比如从 Live CD 启动并手动编辑 /etc/shadow,将其恢复到之前的修改时间,那就更难了......
一般来说,您可能希望确保只有受信任方才能物理访问系统、配置 GRUB 密码并设置尽可能多的日志记录。