Jak mogę się dowiedzieć, czy ktoś zalogował się na mój komputer za pomocą kitu?

26

Podejrzewam, że użytkownik systemu Windows zalogował się na moim komputerze przy użyciu mojego hasła. Czy to możliwe, że mogę zobaczyć ślad logowania na moim komputerze?

12.04  windows  putty 
J.Doe
źródło
Jeśli ta osoba miała dostęp root do twojego systemu (na przykład przez sudo), to nie możesz być pewien, że nie manipulowała dziennikami.
Léo Lam,

Odpowiedzi:

28

Metoda 1:

Uzyskaj historię logowania użytkownika w dowolnym momencie

lastpolecenie poda historię logowania dla określonej nazwy użytkownika. Jeśli nie podamy żadnego argumentu dla tego polecenia, wyświetli ono historię logowania dla wszystkich użytkowników. Domyślnie informacje te będą czytane z /var/log/wtmppliku. Dane wyjściowe tego polecenia zawierają następujące kolumny:

  • Nazwa Użytkownika
  • Numer urządzenia Tty
  • Data i godzina logowania
  • Czas wylogowania
  • Całkowity czas pracy

Dowództwo: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Metoda 2:

Możesz także użyć polecenia lastlogcommand w systemie Linux. Zapewnia bardziej szczegółową kontrolę zakresów dat podczas przeglądania dzienników logowania użytkownika.

strona man lastlog:

lastlog - reports the most recent login of all users or of a given user

Przykład: Aby dowiedzieć się, którzy użytkownicy zalogowali się do systemu w ciągu ostatnich 100 dni.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

To pokazuje, że ostatni raz użytkownicy logowali się do tego systemu. Zakres czasu pokazuje ostatnie 100 dni. Przed dzisiaj (-b 0) i po 100 dniach temu (-t 100).

Możesz także pokazać wszystkim użytkownikom, pomijając dowolny zakres i po prostu zobaczyć każdy użytkownik, który kiedykolwiek był zalogowany, i ostatni raz się zalogowali.

podejrzeć
źródło
4
Jak mogę usunąć mój ślad po zalogowaniu się na jego komputerze? :)
Katu
Spróbuj zastąpić plik podobny do tego z wykorzystaniem dostępu sudo: >/var/log/wtmp. Spowoduje to usunięcie wszystkich informacji z ostatniego dziennika.
snoop
Zaletą wtmp jest to, że jest to rzadki plik. Mogę / powiedzieć / jeśli usuniesz z niego rekord.
Jozuego
8

Możesz użyć, lastaby wyświetlić ostatnie logowania. W pliku znajduje się również plik dziennika dla działań specyficznych dla uwierzytelnienia/var/log/auth.log

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.