研究室にRHEL 5.7をインストールしましたが、誰かがルートパスワードを変更しました(Linuxシングルモードまたは他のモードを介して)。私はそれがどのように行われるかを決定し、基本的にこれがどのように行われるかについてのスケジュールを決定できるようにしたいと思います。
答え1
chage コマンドを使用します。最後のパスワード変更の正確な日付を表示します。chage -l root
またはを試してくださいchage -l username
。
答え2
役に立ちます。システムのすべてのログイン/再起動を確認してくださいlast
。blast
それ以来、他のパスワードが変更されていない場合、/etc/shadowの変更時間もパスワードが変更された時期を示します。
方法については、私が見たボックスで、PAMは少なくともpasswd
使用されている場合はパスワードの変更を/var/log/secureに記録します...何も表示されない場合は、シェルコマンドの履歴を見てください。ユーザーがLive CDから起動し、手動で/etc/shadowを編集して以前の変更時刻に戻すなどの方法でパスワードを編集することはさらに困難です。
通常、信頼できる当事者だけがシステムに物理的にアクセスできるようにし、GRUBパスワードを設定し、できるだけ多くのロギングを設定したいと思うかもしれません。