追踪 RHEL 系统黑客攻击

追踪 RHEL 系统黑客攻击

我在实验室安装了 RHEL 5.7,有人更改了 root 密码(通过 linux single 或其他模式)。我想确定它是如何完成的,并且基本上能够确定这是如何完成的时间表。

答案1

使用 chage 命令。它显示上次密码更改的确切日期。尝试chage -l rootchage -l username

答案2

可能有用的: lastblast查看系统上的所有登录/重新启动。

如果此后没有更改过其他密码,则 /etc/shadow 的修改时间也会指示密码更改的时间...

至于方法,在我查看的框中,PAM 将密码更改记录在 /var/log/secure 中,至少如果passwd使用过的话...如果没有显示任何内容,请尝试查看 shell 命令历史记录。如果用户编辑了一个密码,比如从 Live CD 启动并手动编辑 /etc/shadow,将其恢复到之前的修改时间,那就更难了......

一般来说,您可能希望确保只有受信任方才能物理访问系统、配置 GRUB 密码并设置尽可能多的日志记录。

相关内容