Как я могу узнать, если кто-то вошел в мой компьютер через шпаклевку?

26

Я подозреваю, что пользователь Windows вошел на мой компьютер с моим паролем. Итак, возможно ли, что я вижу следы входа в систему на моем компьютере?

j.doe
источник
Если этот человек имел root-доступ к вашей системе (например, через sudo), то вы не можете быть уверены, что он не вмешивался в журналы.
Лео Лам

Ответы:

28

Способ 1:

Получить историю входа пользователя в любое время

lastКоманда выдаст историю входа для определенного имени пользователя. Если мы не дадим никаких аргументов для этой команды, она перечислит историю входа для всех пользователей. По умолчанию эта информация будет считываться из /var/log/wtmpфайла. Выходные данные этой команды содержат следующие столбцы:

  • Имя пользователя
  • Номер устройства Tty
  • Дата и время входа
  • Время выхода
  • Общее время работы

Команда: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Способ 2:

Вы также можете использовать команду lastlogcommand в Linux. Это дает вам более детальный контроль над диапазонами дат при просмотре журналов пользовательских логинов.

Страница руководства lastlog:

lastlog - reports the most recent login of all users or of a given user

Пример: узнать пользователей, которые вошли в систему за последние 100 дней.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Это показывает, что в последний раз эти пользователи вошли в эту систему. Диапазон времени показывает последние 100 дней. До сегодняшнего дня (-b 0) и после 100 дней назад (-t 100).

Вы также можете показать всех пользователей, пропустив любой диапазон и просто просмотрев всех пользователей, которые когда-либо входили в систему, и последний раз, когда они входили в систему.

шпионить
источник
4
Как я могу удалить свой след после входа в его компьютер? :)
Кату
Попробуйте переопределить файл , как это с помощью доступа SUDO: >/var/log/wtmp. Это удалит всю последнюю информацию журнала.
Снуп
Хорошая вещь о wtmp - это редкий файл. Я могу / сказать / если вы удалите запись из него.
Джошуа
8

Вы можете использовать, lastчтобы показать вам последние логины. Существует также файл журнала для аутентификации конкретных действий в/var/log/auth.log


источник