Як я можу дізнатися, чи хтось увійшов на мій комп'ютер за допомогою шпаклівки?


26

Я підозрюю, що користувач Windows увійшов на комп’ютер зі своїм паролем. Отже, чи можливо я бачу на своєму комп’ютері слід входу?


Якщо ця особа мала кореневий доступ до вашої системи (наприклад, через sudo), ви фактично не можете бути впевнені, що вони не підробили журнали.
Лео Лам

Відповіді:


28

Спосіб 1:

Отримати історію входу користувачів у будь-який час

lastкоманда подасть історію входу для конкретного імені користувача. Якщо ми не дамо жодних аргументів для цієї команди, вона відображатиме історію входу для всіх користувачів. За замовчуванням ця інформація буде читатися з /var/log/wtmpфайлу. Вихід цієї команди містить такі стовпці:

  • Ім'я користувача
  • Tty номер пристрою
  • Дата та час входу
  • Час виходу
  • Загальний робочий час

Команда: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Спосіб 2:

Ви також можете використовувати команду lastlogкоманд в Linux. Це дає вам більш детальний контроль щодо діапазонів дат під час перегляду журналів входу користувачів.

сторінка останнього чоловіка:

lastlog - reports the most recent login of all users or of a given user

Приклад. Щоб дізнатися користувачів, які ввійшли в систему за останні 100 днів.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Це показує, що останній раз ці користувачі входили в цю систему. Інтервал часу показує останні 100 днів. До сьогодні (-b 0) і після 100 днів тому (-t 100).

Ви також можете показати всім користувачам, опустивши будь-який діапазон і просто побачивши кожен usre, який коли-небудь входив, і останній раз, коли вони входили.


4
Як я можу видалити свій слід після входу в його комп’ютер? :)
Кату

Спробуйте перевизначити файл , як це з допомогою доступу SUDO: >/var/log/wtmp. Це видалить всю останню інформацію журналу.
snoop

Приємна річ у wtmp - це розріджений файл. Я можу / скажу / якщо ви видалите з нього запис.
Джошуа

8

Ви можете використовувати lastдля показу останніх входів. Також існує файл журналу для дій, визначених для автентифікації в/var/log/auth.log

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.