어떤 사용자가 자신 또는 다른 사용자의 비밀번호를 변경했는지 확인하는 방법은 무엇입니까?

어떤 사용자가 자신 또는 다른 사용자의 비밀번호를 변경했는지 확인하는 방법은 무엇입니까?

사용자가 자신의 비밀번호나 다른 사용자의 비밀번호를 변경하는 경우(로그 파일이 어딘가에 있는 경우) 어떻게 알 수 있나요?

이 로그는 보이지만 XXXX 사용자의 비밀번호를 누가 변경했는지 확인할 수 없습니다.

3월 31일 12:41:52 UBGGH 비밀번호: pam_unix(passwd:chauthtok): XXXX의 비밀번호가 변경되었습니다.

Centos 7 버전을 사용하고 있습니다

답변1

사용자가 XXXX비밀번호를 변경했거나 루트가 비밀번호를 변경했습니다.

다른 사용자가 루트 권한을 얻도록 허용을 활성화 한 경우 sudo사용자 중 한 명이 이를 사용하여 passwd루트로 실행할 수 있습니다. 일반적으로 로그 메시지는 사용될 때 기록되지만 sudo, 물론 사용자가 루트 권한을 가지고 있는 경우 로깅 기록을 삭제하거나 변조할 수 있습니다.

앞으로는 lastcomm보다 자세한 감사 하위 시스템을 사용하여 어떤 사용자가 어떤 명령을 실행했는지 추적할 수 있습니다. 예를 들어,

lastcomm passwd
passwd                 root     __         0.01 secs Thu Jun  9 07:25

관련 정보