Como descobrir quando uma conta de usuário foi bloqueada

4

Com passwd -S user_name pode-se descobrir se uma conta está bloqueada, mas existe uma maneira de descobrir quando foi trancado e quem trancou?

Mais links:

por Framester 12.04.2013 / 12:38

2 respostas

3

Atualmente, sim e não. O sistema de segurança em si não registra detalhes históricos de alterações de senha. Como é um arquivo simples, seria difícil para um registro como esse ser preciso e confiável, se o acesso aos bancos de dados tivesse que passar por algum tipo de corretor, seria possível (basta adicionar a lógica ao broker) , mas com arquivos simples amplamente acessíveis, não tanto. É por isso que muitos serviços de identidade LDAP / Kerberos permitem esse tipo de auditoria, mas os usuários unix locais têm dificuldade com isso.

O mais próximo que você pode obter é habilitar o log de auditoria do sistema operacional, registrar todas as execuções de comandos (com opções de linha de comando) e observar os arquivos /etc/passwd e /etc/shadow . Se você puder rastrear a alteração para pesquisar em um determinado período de tempo nos registros de auditoria do sistema operacional, poderá rastreá-la de volta para uma chamada "passwd -l" ou alguém que edite manualmente /etc/shadow ou /etc/passwd (em caso de senha não sombreada).

EDITAR:

Para esclarecer, o utilitário passwd padrão em algumas versões do UNIX tradicional (como o Solaris 9, estou vendo) irá syslog o " passwd -l ", mas assumi que estávamos no Linux devido à versão GNU do passwd e que ainda está insuficientemente completo para ser confiável.

    
por 12.04.2013 / 14:51
1

Você pode fazer backups do sistema, procurando por dois backups consecutivos ( N e N +1) onde o usuário está bloqueado em /etc/passwd no backup N +1, mas não no backup N .

    
por 18.04.2013 / 03:18