abd kah Asked: 2022-06-09 23:49:09 +0800 CST2022-06-09 23:49:09 +0800 CST 2022-06-09 23:49:09 +0800 CST 如何检查哪个用户更改了他们或其他用户的密码? 772 当用户更改密码或其他用户的密码时,我如何捕获(如果某处有日志文件)? 我看到了这个日志,但我无法确定谁更改了用户 XXXX 的密码 Mar 31 12:41:52 UBGGH passwd: pam_unix(passwd:chauthtok): password changed for XXXX 我使用 centos 版本 7 linux syslog 1 个回答 Voted Best Answer roaima 2022-06-10T00:22:08+08:002022-06-10T00:22:08+08:00 用户XXXX更改了此密码或 root 更改了此密码。 如果您已sudo启用允许其他用户获得 root 权限,那么其中一个用户可能会使用它以passwdroot 身份运行。通常会在sudo使用时写入日志消息,但当然,如果用户具有 root 权限,他们可以想象删除或以其他方式篡改日志记录。 展望未来,您可以使用lastcomm更详细的审计子系统来跟踪哪个用户运行了哪些命令。例如, lastcomm passwd passwd root __ 0.01 secs Thu Jun 9 07:25
用户
XXXX更改了此密码或 root 更改了此密码。如果您已
sudo启用允许其他用户获得 root 权限,那么其中一个用户可能会使用它以passwdroot 身份运行。通常会在sudo使用时写入日志消息,但当然,如果用户具有 root 权限,他们可以想象删除或以其他方式篡改日志记录。展望未来,您可以使用
lastcomm更详细的审计子系统来跟踪哪个用户运行了哪些命令。例如,