如何找出导致用户 shell 更改为 /bin/false 的原因

如何找出导致用户 shell 更改为 /bin/false 的原因

我遇到过这样的情况:我的一个用户登录被自动禁用。

我试图找出导致这种情况的原因。发现 rkhunter 应用程序正在监控 /etc/passwd 中的更改,并在检测到更改时恢复保存的版本。现在我已经完全删除了 rkhunter。但问题仍然存在。

我在 /var/log/secure 中看到类似“将用户 xxx shell 从 /bin/bash 更改为 /bin/false”的行

这就是我找到的全部内容。显然,有些应用程序正在运行 usermod 命令来执行该更改。但我不太可能找不到它。

有人遇到过这种情况吗?我该如何找到问题的根源?

相关内容