Atualmente, sim e não. O sistema de segurança em si não registra detalhes históricos de alterações de senha. Como é um arquivo simples, seria difícil para um registro como esse ser preciso e confiável, se o acesso aos bancos de dados tivesse que passar por algum tipo de corretor, seria possível (basta adicionar a lógica ao broker) , mas com arquivos simples amplamente acessíveis, não tanto. É por isso que muitos serviços de identidade LDAP / Kerberos permitem esse tipo de auditoria, mas os usuários unix locais têm dificuldade com isso.
O mais próximo que você pode obter é habilitar o log de auditoria do sistema operacional, registrar todas as execuções de comandos (com opções de linha de comando) e observar os arquivos /etc/passwd e /etc/shadow . Se você puder rastrear a alteração para pesquisar em um determinado período de tempo nos registros de auditoria do sistema operacional, poderá rastreá-la de volta para uma chamada "passwd -l" ou alguém que edite manualmente /etc/shadow ou /etc/passwd (em caso de senha não sombreada).
EDITAR:
Para esclarecer, o utilitário passwd padrão em algumas versões do UNIX tradicional (como o Solaris 9, estou vendo) irá syslog o " passwd -l ", mas assumi que estávamos no Linux devido à versão GNU do passwd e que ainda está insuficientemente completo para ser confiável.