是否记录了root密码更改?

8

长话短说,最近一家公司“重组”了我们所有服务器上的root密码后,它被神秘地更改了。我首先需要弄清楚如何重新获得root用户访问权限,然后要弄清楚发生了什么事情(例如,密码何时更改以及&@ ^%是谁更改的)。

对于“我如何恢复root密码”这个问题,我可以找到很多答案,但对于“谁更改了root密码以及何时更改了root密码”这个问题,我找不到很多答案,所以这是我的主要问题,尽管还有其他建议和建议。欢迎发表评论。

passwords  logging  root 
道格
source

Answers:

9

/var/log/auth.log其中应有一个条目,如:

Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed

这里

请注意,一旦日志已满,您的输入可能会永远消失。

BloodPhilia
source
4
如果更改root密码的人只是被误导了,它会告诉您何时完成密码,以及可能是谁(通过查看谁只是运行sudo或su;当然,如果他们以控制台的root用户身份登录,则不会直接看看是谁做的)。但是,如果该人是恶意的,他们可能会删除日志,甚至植入错误信息。
吉尔斯(Gilles)2010年
@吉尔斯不错的加值+1
BloodPhilia
5

除了BloodPhilia的回复外,有时这些条目位于/ var / log / messages或其他文件中。最好尝试类似的方法:

cd /var/log
grep -R -i passwd *

...以查找条目。

就日志寿命而言,这是我未修改的Debian盒子之一的日志档案。即,默认日志记录。

/var/log# ls -atlr auth*
-rw-r----- 1 root adm  35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm  78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm  72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm  18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm  18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm  23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log

如您所见,默认情况下会返回一会儿(在这种情况下)。

马特
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.