아니면 가서 보세요어느사용자가 보안 알림을 /etc/spwd.db변경했습니까?
답변1
OpenBSD에서는 다음 명령을 사용하여 프로세스 계정을 시작해야 합니다:accton주문하다:
touch /var/account/acct # The file has to exist before accton
accton /var/account/acct
시작 시 accton을 활성화하려면 다음을 사용하십시오.
rcctl enable accounting
accounting=YES로 설정합니다 /etc/rc.conf.local.
어쨌든 이제 프로세스 계정이 활성화되었으므로 다음을 사용할 수 있습니다.lastcomm실행된 명령 목록을 보고 및 passwd이름이 지정된 프로세스를 검색합니다 pwd_mkdb. 출력은 역순으로 표시되어 최신 프로세스를 먼저 표시합니다(시작 시간이 아닌 종료 시간을 기준으로 함).
$ lastcomm passwd pwd_mkdb
passwd[18349] - root ttyC1 0.28 secs Thu Mar 28 11:02 (0:00:17.39)
pwd_mkdb[27720] - root ttyC1 0.00 secs Thu Mar 28 11:02 (0:00:00.00)
passwd[58119] -F aviro ttyC1 0.00 secs Thu Mar 28 11:02 (0:00:00.00)
passwd[1586] - root ttyC0 0.22 secs Thu Mar 28 10:11 (0:00:10.02)
pwd_mkdb[27986] - root ttyC0 0.00 secs Thu Mar 28 10:11 (0:00:00.00)
passwd[64663] -F aviro ttyC0 0.00 secs Thu Mar 28 10:11 (0:00:00.00)
모든 성공적인 비밀번호 변경에는 기록에 최소 3개의 프로세스가 표시됩니다(거의 동시에, 동일한 tty에서도:
passwd루트가 소유한 프로세스. 명령은 높은 권한으로 실행되어야 하므로 실행 파일에는 setuid 비트가 설정되어 루트의 유효 uid를 갖게 됩니다.pwd_mkdb명령은 루트의 소유이기도 합니다. 이것은 자명하다.- 또 다른 하나는
passwd이번에는 비밀번호를 소유자로 변경한 사용자입니다. 이는passwd비밀번호가 충분히 강력한지 확인하기 위해 원래 프로세스를 생성하는 process 명령에서 생성된 프로세스 입니다.특권을 포기하다실제 uid로 돌아갑니다. 이는 운이 좋은 일입니다. 원래 uid가 포함된 권한이 낮은 하위 프로세스가 아니면 누가 명령을 실행했는지 알 수 없기 때문입니다. 사용자가 제공한 비밀번호가 요구 사항을 충족하지 않아 다른 비밀번호를 제공해야 하는 경우 이 프로세스가 여러 번 발생할 수 있습니다.
답변2
누가 비밀번호를 변경했는지 확인할 수 있는 보다 간단한 방법을 찾았습니다. (비록 특정 타임스탬프와 연결되지 않고 두 명 이상의 사람이 같은 날 비밀번호를 변경했는지 궁금할 수도 있지만) 비밀번호 변경이나 사용자를 고려하면 이 컴퓨터에 추가하거나 제거하는 일은 1년에 한 번만 발생하므로 견딜 수 있습니다.위험).
타임스탬프를 보고 확인하세요.
diff /var/backups/master.passwd.*