我遇到过这样的情况:我的一个用户登录被自动禁用。
我试图找出导致这种情况的原因。发现 rkhunter 应用程序正在监控 /etc/passwd 中的更改,并在检测到更改时恢复保存的版本。现在我已经完全删除了 rkhunter。但问题仍然存在。
我在 /var/log/secure 中看到类似“将用户 xxx shell 从 /bin/bash 更改为 /bin/false”的行
这就是我找到的全部内容。显然,有些应用程序正在运行 usermod 命令来执行该更改。但我不太可能找不到它。
有人遇到过这种情况吗?我该如何找到问题的根源?