Dou*_*oug 8 root passwords logging
长话短说,在最近的公司“重组”之后,我们所有服务器上的 root 密码都被神秘地更改了。我首先需要弄清楚如何重新获得 root 访问权限,然后再弄清楚发生了什么(例如,密码何时更改,以及 &@^% 是谁更改的)。
我可以找到很多关于“如何恢复 root 密码”的问题的答案,但对于“谁更改了我的 root 密码以及更改时间”这个问题的答案并不多,所以这是我的主要问题,尽管还有其他建议和也欢迎评论。
Pyl*_*lsa 10
在/var/log/auth.log应该有一个条目,如:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
从这里。
请注意,一旦日志已满,您的条目可能会永远消失。
小智 5
除了 BloodPhilia 的回应……有时这些条目位于 /var/log/messages 或其他文件中。最好尝试以下方法:
cd /var/log
grep -R -i passwd *
...找到条目。
就日志寿命而言,这是我未修改的 Debian 机器之一的日志档案。也就是说,默认日志记录。
/var/log# ls -atlr auth*
-rw-r----- 1 root adm 35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm 78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm 72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm 18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm 18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm 23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log
如您所见,默认情况下它会返回一段时间(在这种情况下)。
| 归档时间: |
|
| 查看次数: |
25757 次 |
| 最近记录: |