PDA

View Full Version : log per vedere chi cambia password


tritolo32
04-11-2008, 15:18
Ciao
i miei soci involontariamnete hanno cambiato la password di root
io sono stato tu non sei stato
come posso vedere chi ha cambiato le password di root
cè mica qualche log ?

adesso l ho recuperata quindo ho accesso come root

grazie

sacarde
05-11-2008, 10:45
dovresti trovare in:

/var/log/auth.log


una riga:
Nov 5 11:43:57 sacarde passwd[15656]: pam_unix(passwd:chauthtok): password changed for boinc

tritolo32
05-11-2008, 11:04
e non cè l ho

openSUSE-103-64-LAMP:/var/log # ls
total 409M
drwxr-xr-x 10 root root 4.0K Nov 4 16:29 .
drwxr-xr-x 16 root root 4.0K Feb 1 2008 ..
drwx------ 3 root root 4.0K Mar 26 2008 YaST2
drwxr-x--- 2 root root 4.0K Nov 9 2007 apache2
drwx------ 5 root root 4.0K Sep 22 2007 apparmor
-rw-r----- 1 root root 1 Dec 6 2007 boot.log
-rw-r--r-- 1 root root 33K Jan 30 2008 boot.msg
-rw-r--r-- 1 root root 31K Jan 30 2008 boot.omsg
drwxr-xr-x 2 lp lp 4.0K Dec 12 2007 cups
-rw------- 1 root root 32K Oct 29 13:39 faillog
-rw-r--r-- 1 root root 7.5K Dec 10 2007 ispconfig_install.log
drwx------ 2 root root 4.0K Sep 21 2007 krb5
-rw-r--r-- 1 root tty 291K Nov 5 12:03 lastlog
-rw-r----- 1 root root 1.2M Nov 4 17:44 mail
-rw-r----- 1 root root 23K Mar 24 2008 mail.err
-rw-r----- 1 root root 184K Feb 1 2008 mail.info
-rw-r----- 1 root root 126K Feb 1 2008 mail.warn
-rw-r----- 1 root root 381M Nov 5 12:04 messages
lrwxrwxrwx 1 root root 23 Dec 6 2007 mysqld.log -> ../lib/mysql/mysqld.lo g
drwxr-x--- 2 news kmem 4.0K Oct 5 2007 news
-rw-r--r-- 1 root root 2.5K Jan 30 2008 ntp
drwxr-x--- 5 qmaill root 4.0K Feb 1 2008 qmail
-rw-r--r-- 1 root root 1 Dec 6 2007 rcvsftp.log
drwxr-x--- 3 root root 4.0K Dec 4 2007 samba
-rw-r----- 1 root root 17M Nov 5 01:00 warn
-rw-rw-r-- 1 root tty 242K Nov 5 12:03 wtmp
-rw-r--r-- 1 root root 0 Dec 15 2007 xferlog
-rw-r----- 1 root root 9.8M Mar 28 2008 zypper.log



ho provato a controllare il messages log che tra latro e di 380 mb esagerato
li cè scritto l'ora l'utente che a cambiato password ma non chi !!!!

sacarde
05-11-2008, 11:28
dovresti vedere in /etc/syslog.conf dove vengono dirottati i messaggi auth


p.s.
per i gestire le dimensioni dei log c'e' logrotate