如何檢查哪個使用者更改了他們或其他使用者的密碼？

當使用者更改密碼或其他使用者的密碼時，我如何擷取（如果某處有日誌文件）？

我看到了這個日誌，但我無法確定誰更改了使用者 XXXX 的密碼

Mar 31 12:41:52 UBGGH passwd: pam_unix(passwd:chauthtok): password changed for XXXX

我使用 centos 版本 7

使用者XXXX更改了此密碼或 root 更改了此密碼。

如果您已sudo啟用允許其他使用者獲得 root 權限，那麼其中一個使用者可能會使用它以passwdroot 身份執行。通常會在sudo使用時寫入日誌消息，但當然，如果使用者具有 root 權限，他們可以想像刪除或以其他方式篡改日誌記錄。

展望未來，您可以使用lastcomm更詳細的審計子系統來跟踪哪個使用者執行了哪些命令。例如，

lastcomm passwd
passwd                 root     __         0.01 secs Thu Jun  9 07:25

引用自：https://unix.stackexchange.com/questions/705517