Para encurtar a história, depois que uma empresa recente "reorg" a senha de root em todos os nossos servidores foi misteriosamente alterada. Preciso descobrir primeiro como recuperar o acesso root, mas segundo como descobrir o que aconteceu (por exemplo, quando a senha foi alterada e quem foi o & @ ^%).
Eu posso encontrar muitas respostas para a pergunta "como recuperar uma senha de root", mas não tantas para a pergunta "quem mudou minha senha de root e quando foi alterada", então essa é a minha principal questão, embora outras sugestões e comentários são bem-vindos.
No /var/log/auth.log , deve haver uma entrada como:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
de aqui .
Lembre-se de que, quando o registro estiver cheio, suas entradas poderão desaparecer para sempre.
Além da resposta do BloodPhilia ... às vezes essas entradas estão em / var / log / messages ou outros arquivos. Seria melhor tentar algo como:
cd /var/log
grep -R -i passwd *
... para localizar as entradas.
No que diz respeito à longevidade do log, aqui estão os arquivos de log para uma das minhas caixas Debian não modificadas. Ou seja, registro padrão.
/var/log# ls -atlr auth*
-rw-r----- 1 root adm 35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm 78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm 72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm 18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm 18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm 23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log
Como você pode ver, volta por um tempo por padrão (neste caso).