Questão encontrar data / hora exata quando um usuário alterou sua senha na última vez


O Linux armazena essas informações sobre data / hora / minuto / segundo quando a senha do usuário foi alterada da última vez? Em caso afirmativo, com qual comando pode visualizá-lo?

"chage -l user" mostra apenas o dia em que a senha foi alterada.

Atenciosamente,


2


origem


Qual linux? Muitas vezes há um sudo / auth log, alguma coisa aí? - Xen2050
Debian 8.x, Redhat 7.x, mas eu não gostaria de confiar em logs que mudam com muita frequência, e também agarrado por ferramentas remotas de loganalyzer para segurança ... - Chris
O arquivo de log correto deve ter uma linha dizendo que quando o usuário X executou o passwd (ou similar), eu tenho certeza que existe uma maneira de registrar todos os comandos sudo - o Ubuntu geralmente faz isso por padrão, qualquer baseado no Debian. deveria ser capaz de, Redhat deve ser semelhante, aparentemente "um plug-in de logging de E / S" é necessário, mas eu não sei exatamente como configurar isso, então apenas comentando. Outras linhas e alterações no arquivo de registro não importam - Xen2050
Tudo o que eu queria alcançar é poder comparar a data de alteração da senha de um usuário em dois sistemas diferentes, para garantir qual é o mais novo. Como chage -l mostra apenas o dia, não sei hora / minuto / segundos quando a senha foi alterada em cada sistema naquele dia (se o dia da alteração foi o mesmo, mas em um horário diferente). Por exemplo, no AIX, é possível ver a hora exata da alteração da senha no formato de hora EPOCH. - Chris


Respostas:


Deve ser uma entrada em um log dizendo quando passwd foi executado e por quem, semelhante a:

Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed

O arquivo de log varia dependendo da distro, deve estar em algum lugar /var/log embora, então algo assim deve procurar todos eles (exceto talvez arquivos antigos gz'd, tente zgrep?):

grep -R -i passwd /var/log/*

Provavelmente em /var/log/auth.log no Debian, ou /var/log/secure em Redhat

Mas se este usuário puder executar qualquer comando, eles poderão editar os registros também ... então, observe o acesso ilimitado ao sudo.

Mais informações:


0



alguém a data retornada por chage vem? # chage -l auser | head -1 Última alteração de senha: Nov 04, 2016 ou este é um encontro falso que não significa nada? Percebi que mesmo para um novo usuário criado sem senha (conta desativada) ele mostra essa data de "última alteração de senha" ... - Chris
O Unix era diferente do Windows quando fazia as coisas. O usuário desabilitou e não tem senha, então a senha nula foi considerada como uma senha quando o usuário foi criado ...... mesmo que você não consiga fazer o login com este usuário. - Luciano Andress Martini