7

Короче говоря, после недавней "реорганизации" компании пароль на всех наших серверах был загадочным образом изменен. Сначала мне нужно выяснить, как восстановить root-доступ, а затем выяснить, что произошло (например, когда был изменен пароль и кто & @ ^% это сделал).

Я могу найти множество ответов на вопрос "как восстановить пароль root", но не так много на вопрос "кто изменил мой пароль root и когда он был изменен", так что это мой главный вопрос, хотя другие предложения и комментарии также приветствуются.

|источник

2 ответа2

9

В /var/log/auth.log должна быть запись вроде:

Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed

отсюда

Помните, что как только журнал заполнится, ваши записи могут исчезнуть навсегда.

|источник
5

В дополнение к ответу BloodPhilia ... иногда эти записи находятся в /var /log /messages или других файлах. Было бы лучше попробовать что-то вроде:

cd /var/log
grep -R -i passwd *

... чтобы найти записи.

Что касается долговечности журналов, вот архивы журналов для одного из моих неизмененных блоков Debian. То есть ведение журнала по умолчанию.

/var/log# ls -atlr auth*
-rw-r----- 1 root adm  35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm  78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm  72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm  18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm  18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm  23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log

Как видите, по умолчанию он возвращается на некоторое время (в данном случае).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .