论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2013-07-23 17:19 |只看该作者 |倒序浏览

小弟遇到这样一个问题，请给位帮忙看看，，描述如下：
系统 SUSE Linux Enterprise Server 10
今天登陆发现root无法登陆，提示密码错误，怀疑密码被改。
还有个guest用户可以登录，问题是：
1.如何查看这个root密码是什么时间被改的，
2.修改人的ip地址如何能得到。
3.最后如何能找回root密码，

最想知道的是前两个问题。大家帮忙出出主意。

文库|博客

chenyx

版主

论坛徽章:: 381

2楼 [报告]

发表于 2013-07-23 18:41 |只看该作者

检查下/var/log/secure日志,看看有没有异常

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

笑脸松鼠

稍有积蓄

论坛徽章:: 0

3楼 [报告]

发表于 2013-07-24 21:52 |只看该作者

look into '/var/log/secure' to determine if there's anyone change root password and the time as well. The output message looks like this:
[root@local opt]# grep 'passwd:chauthtok' /var/log/secure
Jul 24 13:44:18 local passwd: pam_unix(passwd:chauthtok): password changed for root

Then, use 'last' command and 'change time' to determine the login IP address from which to change root password.
[root@local opt]# last
root pts/0 8.8.8.8 Wed Jul 2 13:34 still logged in
reboot system boot 2.6.18-308.el5 Mon Jul 22 08:37
root 8.8.8.8 Mon Jun 2 08:16 - down (00:1

root 8.8.8.8 Mon Jun 2 08:16 - down (00:1

root    pts/0       10.200.124.130 Mon Jul 22 08:11 - down
reboot system boot  2.6.18-308.el5 Mon Jul 22 07:58
root    pts/1 8.8.8.8 Mon Jul 22 07:41 - down
root  8.8.8.8 Mon Jul 2 07:40 - down
root 8.8.8.8 Mon Jul 2 07:40 - down
root    pts/0       8.8.8.8 Mon Jul 22 07:35 - down