Là thay đổi mật khẩu gốc được ghi lại?

Tóm lại, sau khi một công ty gần đây "reorg" mật khẩu gốc trên tất cả các máy chủ của chúng tôi đã bị thay đổi một cách bí ẩn. Trước tiên tôi cần tìm ra cách lấy lại quyền truy cập root, nhưng thứ hai là làm thế nào để biết chuyện gì đã xảy ra (ví dụ: khi nào mật khẩu được thay đổi và ai & @ ^% đã làm điều đó).

Tôi có thể tìm thấy nhiều câu trả lời cho câu hỏi "làm cách nào để khôi phục mật khẩu gốc", nhưng không quá nhiều câu hỏi "ai đã thay đổi mật khẩu gốc của tôi và khi nào nó đã thay đổi", vì vậy đó là câu hỏi chính của tôi, mặc dù các đề xuất khác và ý kiến ​​cũng được chào đón.

Trong /var/log/auth.logđó nên có một mục như:

Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed

từ đây .

Hãy nhớ rằng một khi nhật ký đã đầy, các mục của bạn có thể sẽ biến mất mãi mãi.

Ngoài phản hồi của BloodPhilia ... đôi khi các mục đó nằm trong / var / log / message hoặc các tệp khác. Tốt nhất nên thử một cái gì đó như:

cd /var/log
grep -R -i passwd *

... Để xác định vị trí các mục.

Liên quan đến tuổi thọ của nhật ký, đây là kho lưu trữ nhật ký cho một trong các hộp Debian chưa sửa đổi của tôi. Đó là, đăng nhập mặc định.

/var/log# ls -atlr auth*
-rw-r----- 1 root adm  35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm  78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm  72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm  18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm  18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm  23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log

Như bạn có thể thấy, nó quay lại một lúc theo mặc định (trong trường hợp này).