연구실에 RHEL 5.7을 설치했는데 누군가 루트 비밀번호를 변경했습니다(Linux 단일 또는 기타 모드를 통해). 나는 그것이 어떻게 수행되는지 결정하고 기본적으로 이것이 어떻게 수행되는지에 대한 일정을 결정할 수 있기를 원합니다.
답변1
chage 명령을 사용하십시오. 마지막 비밀번호 변경의 정확한 날짜를 표시합니다. chage -l root또는 을 시도하십시오 chage -l username.
답변2
유용할 수 있습니다. 시스템의 모든 로그인/재시작을 확인하세요 last.blast
그 이후로 다른 비밀번호가 변경되지 않은 경우 /etc/shadow의 수정 시간도 비밀번호가 변경된 시기를 나타냅니다.
방법에 관해서는, 제가 살펴본 상자에서 PAM은 적어도 passwd사용된 경우 비밀번호 변경 사항을 /var/log/secure에 기록합니다... 아무 것도 나타나지 않으면 쉘 명령 기록을 살펴보십시오. 사용자가 Live CD에서 부팅하고 수동으로 /etc/shadow를 편집하여 이전 수정 시간으로 되돌리는 등의 방식으로 비밀번호를 편집하는 경우는 더욱 어렵습니다.
일반적으로 신뢰할 수 있는 당사자만 시스템에 물리적으로 액세스할 수 있도록 하고, GRUB 비밀번호를 구성하고, 가능한 한 많은 로깅을 설정하려고 할 수 있습니다.