Frage Wie kann ich herausfinden, ob sich jemand über Kitt an meinem Computer angemeldet hat?


Ich vermute, dass sich ein Windows-Benutzer mit meinem Passwort an meinem Computer angemeldet hat. Also, ist es möglich, dass ich eine Spur der Anmeldung auf meinem Computer sehe?


26
2017-09-15 16:10


Ursprung


Wenn diese Person Root-Zugriff auf Ihr System hatte (z. B. durch sudo), können Sie nicht sicher sein, dass sie die Protokolle nicht manipuliert haben. - Léo Lam


Antworten:


Methode 1:

Erhalten Sie den Benutzeranmeldeverlauf zu jeder Zeit

last Der Befehl gibt den Anmeldeverlauf für einen bestimmten Benutzernamen an. Wenn wir für diesen Befehl kein Argument angeben, wird der Anmeldeverlauf für alle Benutzer angezeigt. Standardmäßig liest diese Information von /var/log/wtmp Datei. Die Ausgabe dieses Befehls enthält die folgenden Spalten:

  • Nutzername
  • Tty-Gerätenummer
  • Anmeldedatum und -zeit
  • Abmeldezeit
  • Gesamtarbeitszeit

Befehl: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Methode 2:

Sie können auch den Befehl verwenden lastlog Befehl unter Linux. Sie erhalten genauere Informationen zu Datumsbereichen, wenn Sie sich die Protokolle der Benutzeranmeldungen ansehen.

lastlog man seite:

lastlog - reports the most recent login of all users or of a given user

Beispiel: Ermitteln der Benutzer, die sich in den letzten 100 Tagen bei einem System angemeldet haben.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Dies zeigt, dass die Benutzer sich zuletzt bei diesem System angemeldet haben. Die Zeitspanne zeigt die letzten 100 Tage an. Vor heute (-b 0) und nach 100 Tagen (-t 100).

Sie können auch alle Benutzer anzeigen, indem Sie einen beliebigen Bereich auslassen und nur alle Benutzer sehen, die sich jemals angemeldet haben, sowie das letzte Mal, an dem sie sich angemeldet haben.


28
2017-09-15 16:19



Wie kann ich meine Aufzeichnung nach der Anmeldung in seinem Computer löschen? :) - Katu
Versuchen Sie eine Datei wie folgt mit sudo access zu überschreiben: >/var/log/wtmp. Dadurch werden alle letzten Protokollinformationen gelöscht. - snoop
Das Schöne an wtmp ist, dass es eine Sparse-Datei ist. Ich kann / sage / wenn du einen Datensatz löschst. - Joshua


Sie können verwenden last um dir die letzten Logins zu zeigen. Es gibt auch eine Protokolldatei für authentifizierungsspezifische Aktionen in /var/log/auth.log


8
2017-09-15 16:16