我正在寻找一种方法来审核本地网络服务器的用户密码更改历史记录root(命令)。passwd
我如何通过 IP 地址查看此命令的执行日期和/或时间?
答案1
您无法分辨是谁发出的,passwd以及从哪里发出的。
但我的 Ubuntu 配置为将密码更改记录到 ,/var/log/auth.log而我的 RHEL 和 CentOS 将密码更改记录到/var/log/secure,如果它们是用 passwd 命令创建的。您将看到pam_unix(passwd:chauthtok): password changed for消息。
因此,除非有人直接修改了 /etc/shadow(管理员可能这样做),否则你可以看到什么时候已设置密码。
当。。。的时候当前的设置的密码也存储在 /etc/shadow 中
看https://linux.die.net/man/3/shadow和https://linux.die.net/man/5/shadow
包含密码哈希值的文件中的第三个字段/etc/shadow 是sp_lstchg自 1970 年 1 月 1 日上次更改密码以来的天数。
root@serverfault:~# grep root /etc/shadow
root:*:17928:0:99999:7:::
^^^^^
root@serverfault:~# date --date '1970-01-01 +17928days'
Fri Feb 1 00:00:00 CET 2019