如何查明用户帐户何时被锁定

Question 1

目前，是和否。安全系统本身不会记录密码更改的历史详细信息。由于它是一个平面文件，因此这样的记录很难准确且值得信赖，如果对数据库的访问必须通过某种代理进行独占，那么这是可能的（您只需将逻辑添加到代理即可），但对于可广泛访问的平面文件来说，情况就不那么严重了。这就是为什么许多 LDAP/Kerberos 身份服务允许这种类型的审核，但本地 UNIX 用户却很难使用它。

您可以获得的最接近的是启用操作系统审核日志记录，记录所有命令执行（使用命令行选项）并监视/etc/passwd和/etc/shadow文件。如果您可以将更改追溯到在操作系统审核记录中搜索的特定时间段内，则可以将其追溯到“passwd -l”调用或某人手动编辑/etc/shadow或/etc/passwd（如果是未隐藏密码）。

编辑：

澄清一下，passwd传统 UNIX 的某些版本（如 Solaris 9，我看到的）上的默认实用程序将是syslog“ passwd -l”，但我假设我们使用的是 Linux passwd，因为 GNU 版本仍然不够完整，不值得信赖。

Answer

目前，是和否。安全系统本身不会记录密码更改的历史详细信息。由于它是一个平面文件，因此这样的记录很难准确且值得信赖，如果对数据库的访问必须通过某种代理进行独占，那么这是可能的（您只需将逻辑添加到代理即可），但对于可广泛访问的平面文件来说，情况就不那么严重了。这就是为什么许多 LDAP/Kerberos 身份服务允许这种类型的审核，但本地 UNIX 用户却很难使用它。

您可以获得的最接近的是启用操作系统审核日志记录，记录所有命令执行（使用命令行选项）并监视/etc/passwd和/etc/shadow文件。如果您可以将更改追溯到在操作系统审核记录中搜索的特定时间段内，则可以将其追溯到“passwd -l”调用或某人手动编辑/etc/shadow或/etc/passwd（如果是未隐藏密码）。

编辑：

澄清一下，passwd传统 UNIX 的某些版本（如 Solaris 9，我看到的）上的默认实用程序将是syslog“ passwd -l”，但我假设我们使用的是 Linux passwd，因为 GNU 版本仍然不够完整，不值得信赖。

Question 2

您可以检查系统备份，查找两个连续的备份（氮和氮+1) 用户/etc/passwd在备份中被锁定的位置氮+1 但不在备份中氮。

Answer

您可以检查系统备份，查找两个连续的备份（氮和氮+1) 用户/etc/passwd在备份中被锁定的位置氮+1 但不在备份中氮。

如何查明用户帐户何时被锁定

答案1

答案2

相关内容