Я искал решения для этого. Я могу изменить это, но мне нужно узнать, когда это было сделано в последний раз, и, желательно, также посмотреть, кто был авторизован, когда это было сделано.
Требуются доказательства нарушения безопасности.
Заранее спасибо.
Насколько я знаю, штатного способа сделать это нет.
Чтобы определить, когда меняется пароль root, вам необходимо включить двоичное ведение журнала для mysql database и следите за тем, чтобы в этом журнале менялись пароли для пользователя root. Если у вас еще не включено ведение двоичного журнала, я не уверен, что есть способ определить возраст пароля.
Что касается того, кто вошел в систему, каково ваше определение «вошли в систему»? Вы имеете в виду подключение по SSH? Если это так, вам нужно архивировать /var/log/secure или /var/log/auth.log так что вы можете сопоставить журналы подключения / отключения пользователей с упомянутым ранее mysql binlog.