Короче говоря после того, как недавняя компания "reorg" пароль root на всех наших серверах была загадочно изменена. Я должен выяснить сначала, как возвратить корневой доступ, но второй, как выяснить то, что произошло (например, когда был пароль, измененный, и кто и @^ % сделал это).
Я могу найти много ответов на вопрос, "как я восстанавливаю пароль root", но не так многих к вопросу, "кто изменил мой пароль root и когда он был изменен", так, чтобы был мой основной вопрос, хотя другие предложения и комментарии приветствуются также.
В /var/log/auth.log
должна быть запись как:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
Действительно возражайте против этого, после того как журнал полон, Ваши записи могли бы закончиться навсегда.
В дополнение к ответу BloodPhilia... иногда те записи находятся в/var/log/messages или других файлах. Было бы лучше попробовать что-то как:
cd /var/log
grep -R -i passwd *
... определять местоположение записей.
Что касается долговечности журнала, вот архивы журнала для одного из моих неизмененных полей Debian. Таким образом, вход по умолчанию.
/var/log# ls -atlr auth*
-rw-r----- 1 root adm 35941 2009-06-21 06:47 auth.log.6.gz
-rw-r----- 1 root adm 78092 2009-06-27 06:25 auth.log.5.gz
-rw-r----- 1 root adm 72322 2009-07-09 06:25 auth.log.4.gz
-rw-r----- 1 root adm 18186 2010-08-08 06:47 auth.log.3.gz
-rw-r----- 1 root adm 18742 2010-08-15 06:47 auth.log.2.gz
-rw-r----- 1 root adm 23542 2010-08-22 06:47 auth.log.1.gz
-rw-r----- 1 root adm 271204 2010-08-29 06:47 auth.log.0
-rw-r----- 1 root adm 160744 2010-09-02 13:01 auth.log
Как Вы видите, это возвращается некоторое время по умолчанию (в этом случае).