Jak mogę się dowiedzieć, czy ktoś zalogował się na mój komputer za pomocą kitu?
26
Podejrzewam, że użytkownik systemu Windows zalogował się na moim komputerze przy użyciu mojego hasła. Czy to możliwe, że mogę zobaczyć ślad logowania na moim komputerze?
Jeśli ta osoba miała dostęp root do twojego systemu (na przykład przez sudo), to nie możesz być pewien, że nie manipulowała dziennikami.
Léo Lam,
Odpowiedzi:
28
Metoda 1:
Uzyskaj historię logowania użytkownika w dowolnym momencie
lastpolecenie poda historię logowania dla określonej nazwy użytkownika. Jeśli nie podamy żadnego argumentu dla tego polecenia, wyświetli ono historię logowania dla wszystkich użytkowników. Domyślnie informacje te będą czytane z /var/log/wtmppliku. Dane wyjściowe tego polecenia zawierają następujące kolumny:
Nazwa Użytkownika
Numer urządzenia Tty
Data i godzina logowania
Czas wylogowania
Całkowity czas pracy
Dowództwo: $last jason
jason pts/0 dev-db-server Fri Mar 27 22:57 still logged in
jason pts/0 dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)
jason pts/0 dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)
jason pts/1 dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)
jason pts/0 192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)
jason pts/1 192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)
jason pts/0 dev-db-server Wed Mar 11 20:11 - 20:50 (00:39
Metoda 2:
Możesz także użyć polecenia lastlogcommand w systemie Linux. Zapewnia bardziej szczegółową kontrolę zakresów dat podczas przeglądania dzienników logowania użytkownika.
strona man lastlog:
lastlog - reports the most recent login of all users or of a given user
Przykład: Aby dowiedzieć się, którzy użytkownicy zalogowali się do systemu w ciągu ostatnich 100 dni.
$ lastlog -b 0 -t 100
Username Port From Latest
sam pts/0 pegasus Wed Jan 8 20:32:25 -0500 2014
joe pts/0 192.168.1.105 Thu Dec 12 12:47:11 -0500 2013
To pokazuje, że ostatni raz użytkownicy logowali się do tego systemu. Zakres czasu pokazuje ostatnie 100 dni. Przed dzisiaj (-b 0) i po 100 dniach temu (-t 100).
Możesz także pokazać wszystkim użytkownikom, pomijając dowolny zakres i po prostu zobaczyć każdy użytkownik, który kiedykolwiek był zalogowany, i ostatni raz się zalogowali.
Jak mogę usunąć mój ślad po zalogowaniu się na jego komputerze? :)
Katu
Spróbuj zastąpić plik podobny do tego z wykorzystaniem dostępu sudo: >/var/log/wtmp. Spowoduje to usunięcie wszystkich informacji z ostatniego dziennika.
snoop
Zaletą wtmp jest to, że jest to rzadki plik. Mogę / powiedzieć / jeśli usuniesz z niego rekord.
Jozuego
8
Możesz użyć, lastaby wyświetlić ostatnie logowania. W pliku znajduje się również plik dziennika dla działań specyficznych dla uwierzytelnienia/var/log/auth.log
Odpowiedzi:
Metoda 1:
lastpolecenie poda historię logowania dla określonej nazwy użytkownika. Jeśli nie podamy żadnego argumentu dla tego polecenia, wyświetli ono historię logowania dla wszystkich użytkowników. Domyślnie informacje te będą czytane z/var/log/wtmppliku. Dane wyjściowe tego polecenia zawierają następujące kolumny:Dowództwo:
$last jasonMetoda 2:
Możesz także użyć polecenia
lastlogcommand w systemie Linux. Zapewnia bardziej szczegółową kontrolę zakresów dat podczas przeglądania dzienników logowania użytkownika.To pokazuje, że ostatni raz użytkownicy logowali się do tego systemu. Zakres czasu pokazuje ostatnie 100 dni. Przed dzisiaj (-b 0) i po 100 dniach temu (-t 100).
Możesz także pokazać wszystkim użytkownikom, pomijając dowolny zakres i po prostu zobaczyć każdy użytkownik, który kiedykolwiek był zalogowany, i ostatni raz się zalogowali.
źródło
>/var/log/wtmp. Spowoduje to usunięcie wszystkich informacji z ostatniego dziennika.Możesz użyć,
lastaby wyświetlić ostatnie logowania. W pliku znajduje się również plik dziennika dla działań specyficznych dla uwierzytelnienia/var/log/auth.logźródło