사용자가 자신의 비밀번호나 다른 사용자의 비밀번호를 변경하는 경우(로그 파일이 어딘가에 있는 경우) 어떻게 알 수 있나요?
이 로그는 보이지만 XXXX 사용자의 비밀번호를 누가 변경했는지 확인할 수 없습니다.
3월 31일 12:41:52 UBGGH 비밀번호: pam_unix(passwd:chauthtok): XXXX의 비밀번호가 변경되었습니다.
Centos 7 버전을 사용하고 있습니다
답변1
사용자가 XXXX비밀번호를 변경했거나 루트가 비밀번호를 변경했습니다.
다른 사용자가 루트 권한을 얻도록 허용을 활성화 한 경우 sudo사용자 중 한 명이 이를 사용하여 passwd루트로 실행할 수 있습니다. 일반적으로 로그 메시지는 사용될 때 기록되지만 sudo, 물론 사용자가 루트 권한을 가지고 있는 경우 로깅 기록을 삭제하거나 변조할 수 있습니다.
앞으로는 lastcomm보다 자세한 감사 하위 시스템을 사용하여 어떤 사용자가 어떤 명령을 실행했는지 추적할 수 있습니다. 예를 들어,
lastcomm passwd
passwd root __ 0.01 secs Thu Jun 9 07:25