хранит ли linux такую информацию о дате / часе / минуте / секунде, когда пароль пользователя изменялся в последний раз? Если да, то с какой командой это можно просмотреть?
«chage -l user» показывает только день, когда пароль был изменен.
С уважением,
Должна быть запись в журнале, сообщающая, когда был запущен passwd и кем, аналогично:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
Файл журнала варьируется в зависимости от дистрибутива, но должен находиться где-то в /var/log , поэтому что-то вроде этого должно искать их все (кроме, может быть, старых файлов gz'd, попробуйте zgrep?):
grep -R -i passwd /var/log/*
Возможно, в /var/log/auth.log в Debian или в /var/log/secure в Redhat
Но если этот пользователь может выполнять какие-либо команды, он также может редактировать журналы ... так что следите за неограниченным доступом sudo.
Больше информации: