Ou para ver qual/etc/spwd.db
usuário causou a alteração do aviso de segurança ?
relate perguntas
-
Colocando IP externo em uma variável - falha na operação grep [duplicado]
-
Qual é a promessa do OpenBSD em resumo?
-
Fortalecendo a segurança dos servidores rhel6/7 [fechado]
-
É possível manter um servidor como refém se alguém tiver acesso root? [fechado]
-
Existe um daemon syslog que implementa RFC 5848 "Signed Syslog Messages"?
No OpenBSD, você precisa iniciar a contabilidade do processo com o
accton
comando:Para ativar o Accton no momento da inicialização, use:
que se
accounting=YES
instala/etc/rc.conf.local
.De qualquer forma, agora que você ativou a contabilidade de processos, pode usar
lastcomm
para visualizar a lista de comandos executados e pesquisar processos nomeadospasswd
epwd_mkdb
. A saída será mostrada ao contrário, onde os processos mais recentes são exibidos primeiro (de acordo com a hora de término, não a hora em que foram iniciados):Cada alteração de senha bem-sucedida mostrará no histórico pelo menos três processos (mais ou menos ao mesmo tempo, e também no mesmo tty:
passwd
processo de propriedade do root. Este comando deve ser executado com privilégios elevados, portanto, o arquivo executável tem o bit setuid definido, portanto, possui o uid efetivo do root.pwd_mkdb
comando também de propriedade do root. É autoexplicativo.passwd
, desta vez sob o usuário que alterou a senha como proprietário. Este é um processo que é bifurcado dopasswd
comando original para verificar se a senha é forte o suficiente e transfere os privilégios de volta para o uid real. Isso é uma sorte, porque se não fosse por essa criança com poucos privilégios e com o uid original, você não teria como saber quem executou o comando. Este processo pode aparecer mais de uma vez, se o usuário fornecer uma senha que não atenda aos requisitos e tiver que fornecer uma senha diferente.