ユーザーが自分のパスワードや他のユーザーのパスワードを変更した場合(ログファイルがどこかにある場合)、どうすればわかりますか?
このログは表示されますが、ユーザーがXXXXのパスワードを変更したことを確認できません。
3月31日 12:41:52 UBGGH パスワード: pam_unix(passwd:chauthtok): XXXX のパスワードが変更されました。
Centos 7バージョンを使用しています
答え1
ユーザーがXXXXパスワードを変更したか、ルートがパスワードを変更しました。
他のユーザーがroot権限を取得できるようにすることを有効にした場合は、ユーザーのsudo1人がそれを使用してpasswdrootとして実行できます。通常、ログメッセージは使用時に記録されますがsudo、もちろん、ユーザーがroot権限を持っている場合は、ログ記録を削除または改ざんできます。
将来的には、lastcommより詳細な監査サブシステムを使用して、どのユーザーがどのコマンドを実行したかを追跡できます。例えば、
lastcomm passwd
passwd root __ 0.01 secs Thu Jun 9 07:25