Как просмотреть историю команды "passwd <username>"

Question

Как просмотреть историю команды "passwd <username>"

Я ищу способ аудита истории смены пароля для пользователя root (passwd команда) для локального сетевого сервера.

Как я могу просмотреть дату и / или время выполнения этой команды и по IP-адресу?

1

linux security password audit

Источник

Prince Tagoe 19 апр '19 в 09:52

1 ответ

Другие вопросы по тегам linux security password audit

HBruijn 19 апр '19 в 12:59 2019-04-19 12:59 · Answer 1 · 2019-04-19 12:59

Вы не можете сказать, кто выпустил passwd и откуда.

Но моя Ubuntu настроена на запись изменений пароля в /var/log/auth.log и мой пароль журнала RHEL и CentOS изменяется на /var/log/secure, если они сделаны с помощью команды passwd. Ты увидишь pam_unix(passwd:chauthtok): password changed for Сообщения.

Так что, если кто-то не изменял / etc / shadow напрямую (возможно для администратора), вы можете увидеть, когда был установлен пароль.

Когда текущий пароль был установлен, он также сохраняется в / etc / shadow

См. https://linux.die.net/man/3/shadow и https://linux.die.net/man/5/shadow

Третье поле в файле, содержащее хэши паролей /etc/shadow является sp_lstchg - количество дней с 1 января 1970 года, когда пароль последний раз менялся.

root@serverfault:~# grep root /etc/shadow
root:*:17928:0:99999:7:::
       ^^^^^

root@serverfault:~# date --date '1970-01-01 +17928days'
Fri Feb  1 00:00:00 CET 2019