Я ищу способ проверить историю смены пароля для пользователя root (в passwd команда) для локального сетевого сервера.
Как я могу просмотреть дату и / или время выполнения этой команды и по IP-адресу?
Вы не можете сказать, кто выпустил passwd и откуда.
Но мой Ubuntu настроен на регистрацию изменений пароля в /var/log/auth.log и мой пароль журнала RHEL и CentOS меняется на /var/log/secure, если они создаются с помощью команды passwd. Ты увидишь pam_unix(passwd:chauthtok): password changed for Сообщения.
Поэтому, если кто-то не изменил / etc / shadow напрямую (возможно для администратора), вы можете увидеть когда был установлен пароль.
Когда ток установленный пароль также хранится в / etc / shadow
Видеть https://linux.die.net/man/3/shadow и https://linux.die.net/man/5/shadow
Третье поле в файле, содержащее хеши паролей /etc/shadow является sp_lstchg - количество дней с 1 января 1970 г., когда последний раз меняли пароль.
root@serverfault:~# grep root /etc/shadow
root:*:17928:0:99999:7:::
^^^^^
root@serverfault:~# date --date '1970-01-01 +17928days'
Fri Feb 1 00:00:00 CET 2019