RHELシステムハッキング攻撃追跡

RHELシステムハッキング攻撃追跡

研究室にRHEL 5.7をインストールしましたが、誰かがルートパスワードを変更しました(Linuxシングルモードまたは他のモードを介して)。私はそれがどのように行われるかを決定し、基本的にこれがどのように行われるかについてのスケジュールを決定できるようにしたいと思います。

答え1

chage コマンドを使用します。最後のパスワード変更の正確な日付を表示します。chage -l rootまたはを試してくださいchage -l username

答え2

役に立ちます。システムのすべてのログイン/再起動を確認してくださいlastblast

それ以来、他のパスワードが変更されていない場合、/etc/shadowの変更時間もパスワードが変更された時期を示します。

方法については、私が見たボックスで、PAMは少なくともpasswd使用されている場合はパスワードの変更を/var/log/secureに記録します...何も表示されない場合は、シェルコマンドの履歴を見てください。ユーザーがLive CDから起動し、手動で/etc/shadowを編集して以前の変更時刻に戻すなどの方法でパスワードを編集することはさらに困難です。

通常、信頼できる当事者だけがシステムに物理的にアクセスできるようにし、GRUBパスワードを設定し、できるだけ多くのロギングを設定したいと思うかもしれません。

関連情報