Трассировка системного взлома RHEL
Пробуя пару вещей, я получил это сообщение:
format: protocol://[user@]hostname[:port]/[path]
Отметьте это [path] будет интерпретироваться из Вашего корневого каталога, если Вы не добавляете дополнительное / (vim scp://user@host//etc/vim/vimrc).
Используйте команду chage. Это показывает точную дату последнего изменения пароля. Попробовать chage -l root или chage -l username.
-
1Спасибо Venkat. Однако это не дает мне время также метод изменения. – shoonya 29.11.2012, 10:01
Что могло бы быть полезным: last и blast видеть все логины / перезагрузки в системе.
Если бы никакие другие пароли не были изменены с тех пор, время изменения/etc/shadow также указало бы время изменения пароля...
Что касается метода, на поле, на которое я смотрел, PAM зарегистрировал изменения пароля в/var/log/secure, по крайней мере, если passwd использовался... Если это ничего не показывает, попытайтесь просмотреть историю команд оболочки. Если пользователь отредактировал пароль, говорят, что начальная загрузка с Живого CD и вручную редактирование/etc/shadow, касаясь его назад к предыдущему разу, он был бы более твердым...
В целом Вы могли бы хотеть удостовериться, чтобы только у доверяемых сторон был физический доступ к системе, что пароль GRUB настроен и что как можно больше входа настраивается.