Use o comando chage. Mostra a data exata da última alteração de senha.
Experimente chage -l root ou chage -l username .
Eu tenho uma instalação do RHEL 5.7 no laboratório e alguém alterou a senha do root (seja pelo linux single ou algum outro modo). Eu gostaria de identificar como foi feito e, basicamente, ser capaz de identificar os cronogramas de como isso foi feito.
Use o comando chage. Mostra a data exata da última alteração de senha.
Experimente chage -l root ou chage -l username .
O que pode ser útil:
last e blast para ver todos os logins / reinicializações no sistema.
Se nenhuma outra senha tiver sido alterada desde então, o horário de modificação de / etc / shadow também indicará o horário da alteração da senha ...
Quanto ao método, na caixa que eu olhei, o PAM registrou as mudanças de senha em / var / log / secure, pelo menos se passwd foi usado ... Se isso não mostrar nada, tente procurar através do histórico de comandos da shell. Se um usuário editou uma senha, digamos que a inicialização de um Live CD e a edição manual do / etc / shadow, retornando à hora da modificação anterior, seria mais difícil ...
Em geral, você pode querer garantir que apenas partes confiáveis tenham acesso físico ao sistema, que uma senha GRUB esteja configurada e que o máximo de registro possível seja configurado.