
Not true.  The OP was not planning to monitor the /etc/shadow file, which is where the password is actually stored.  The /etc/passwd file only contains the username, userid, groupid, a comment field, the user's home directory and the default shell.  Those are rarely changed.<div>

<br></div><div>Ralph Mitchell</div><div><br><br><div class="gmail_quote">On Mon, Jul 20, 2009 at 1:55 PM, Langford, Kenneth <span dir="ltr"><<a href="mailto:kenneth.langford@siemens.com">kenneth.langford@siemens.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">The bad news is that a simple user changing his password on the system would cause an event notification if you are not using NIS/NIS+ or LDAP for your users and the /etc/passwd file was for local accounts only.<br>


<br>

Ken,<br>

<br>

----<br>

Kenneth W. Langford<br>

Systems Engineer<br>

<div class="im"><br>

<br>

<br>

-----Original Message-----<br>

From: dOCtoR MADneSs [mailto:<a href="mailto:doctor@makelofine.org">doctor@makelofine.org</a>]<br>

Sent: Monday, July 20, 2009 1:16 PM<br>

To: <a href="mailto:hobbit@hswn.dk">hobbit@hswn.dk</a><br>

</div><div><div></div><div class="h5">Subject: Re: [hobbit] monitoring etc passwd<br>

<br>

Harold J. Ballinger a écrit :<br>

> I agree with you that he needs to have more in place to control this, but having an alert when changes are made is a nice event notification to kick off any necessary audit/control procedures. I can definitely see the advantages of having such an event notification in place.<br>


><br>

> -<br>

><br>

> Harold Ballinger<br>

> IT Coordinator<br>

> Heritage Healthcare, Inc.<br>

>  (888) 335-2620  | helpdesk<br>

>  (864) 224-3626  | office<br>

>  (864) 224-3093  | fax<br>

><br>

> Visit our website: <a href="http://www.heritage-healthcare.com" target="_blank">www.heritage-healthcare.com</a><br>

><br>

><br>

><br>

><br>

> -----Original Message-----<br>

> From: Buchan Milne [mailto:<a href="mailto:bgmilne@staff.telkomsa.net">bgmilne@staff.telkomsa.net</a>]<br>

> Sent: Saturday, July 18, 2009 4:54 PM<br>

> To: <a href="mailto:hobbit@hswn.dk">hobbit@hswn.dk</a><br>

> Cc: Gavin Leonard<br>

> Subject: Re: [hobbit] monitoring etc passwd<br>

><br>

> On Tuesday 07 July 2009 23:19:58 Gavin Leonard wrote:<br>

>> Hi All,<br>

>>                 I am having a problem where users and groups are being<br>

>> created without the knowledge of the admin team and its making it difficult<br>

>> to know who had access to what systems if they leave the company... is<br>

>> there a way for hobbit to tell me when the /etc/passwd or /etc/group files<br>

>> change? Thanks in Advance..<br>

><br>

> IMHO, this is not a problem to solve by monitoring, it is a problem to be<br>

> solved by:<br>

> -authorization for actions/commands (e.g. sudo access to specific commands,<br>

> instead of root shell access)<br>

> -accounting/auditing (e.g., in case root shell access is required, the<br>

> commands/screen output should be recorded against the user who started the<br>

> root shell session)<br>

> -security auditing<br>

><br>

> Centralised authentication (which implies that the only local accounts<br>

> required are for "system" use, not for users) can also help reduce the amount<br>

> of work in picking up and fixing incorrect user/group changes.<br>

><br>

> If monitoring when changes were made to local files forms one part of your<br>

> process, fine, you can use the 'FILE' monitoring feature with the mtime check.<br>

><br>

> However, I would really hope this is not the only thing you are putting in<br>

> place to solve this problem.<br>

><br>

> Regards,<br>

> Buchan<br>

><br>

> To unsubscribe from the hobbit list, send an e-mail to<br>

> <a href="mailto:hobbit-unsubscribe@hswn.dk">hobbit-unsubscribe@hswn.dk</a><br>

><br>

><br>

I think almost same, using md5 verification is strong (imho), and does<br>

not dispense of using other security audit tools.<br>

<br>

To unsubscribe from the hobbit list, send an e-mail to<br>

<a href="mailto:hobbit-unsubscribe@hswn.dk">hobbit-unsubscribe@hswn.dk</a><br>

<br>

<br>

<br>

To unsubscribe from the hobbit list, send an e-mail to<br>

<a href="mailto:hobbit-unsubscribe@hswn.dk">hobbit-unsubscribe@hswn.dk</a><br>

<br>

<br>

</div></div></blockquote></div><br></div>