Wie kann ich herausfinden, ob sich jemand über Putty an meinem Computer angemeldet hat?
26
Ich vermute, dass sich ein Windows-Benutzer mit meinem Kennwort an meinem Computer angemeldet hat. Ist es also möglich, dass ich eine Spur der Anmeldung auf meinem Computer sehe?
Wenn diese Person Root-Zugriff auf Ihr System hatte (z. B. über sudo), können Sie nicht sicher sein, dass sie die Protokolle nicht manipuliert hat.
Léo Lam
Antworten:
28
Methode 1:
Sie können jederzeit den Anmeldeverlauf des Benutzers abrufen
lastDer Befehl gibt den Anmeldeverlauf für einen bestimmten Benutzernamen an. Wenn wir für diesen Befehl kein Argument angeben, wird der Anmeldeverlauf für alle Benutzer aufgelistet. Standardmäßig werden diese Informationen aus der /var/log/wtmpDatei gelesen . Die Ausgabe dieses Befehls enthält die folgenden Spalten:
Nutzername
Tty Gerätenummer
Login Datum und Uhrzeit
Abmeldezeit
Gesamtarbeitszeit
Befehl: $last jason
jason pts/0 dev-db-server Fri Mar 27 22:57 still logged in
jason pts/0 dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)
jason pts/0 dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)
jason pts/1 dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)
jason pts/0 192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)
jason pts/1 192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)
jason pts/0 dev-db-server Wed Mar 11 20:11 - 20:50 (00:39
Methode 2:
Sie können den Befehl lastlogcommand auch unter Linux verwenden. Sie können die Datumsbereiche genauer steuern, wenn Sie die Protokolle der Benutzeranmeldungen durchsehen.
Letzte Log-Manpage:
lastlog - reports the most recent login of all users or of a given user
Beispiel: Ermitteln der Benutzer, die sich in den letzten 100 Tagen bei einem System angemeldet haben.
$ lastlog -b 0 -t 100
Username Port From Latest
sam pts/0 pegasus Wed Jan 8 20:32:25 -0500 2014
joe pts/0 192.168.1.105 Thu Dec 12 12:47:11 -0500 2013
Dies zeigt, dass sich diese Benutzer das letzte Mal an diesem System angemeldet haben. Der Zeitbereich zeigt die letzten 100 Tage. Vor heute (-b 0) und nach 100 Tagen (-t 100).
Sie können auch alle Benutzer anzeigen, indem Sie einen Bereich weglassen und nur alle Benutzer anzeigen, die jemals angemeldet waren, sowie den Zeitpunkt, zu dem sie sich das letzte Mal angemeldet haben.
Wie kann ich meinen Trace nach dem Einloggen in seinen Computer löschen? :)
Katu
Versuchen Sie, eine Datei wie dieser mit sudo Zugang außer Kraft zu setzen: >/var/log/wtmp. Dadurch werden alle letzten Protokollinformationen gelöscht.
Snoop
Das Schöne an wtmp ist, dass es eine spärliche Datei ist. Ich kann sagen, ob Sie einen Datensatz daraus löschen.
Joshua
8
Mit können lastSie sich die letzten Logins anzeigen lassen. Es gibt auch eine Protokolldatei für authentifizierungsspezifische Aktionen in/var/log/auth.log
Antworten:
Methode 1:
lastDer Befehl gibt den Anmeldeverlauf für einen bestimmten Benutzernamen an. Wenn wir für diesen Befehl kein Argument angeben, wird der Anmeldeverlauf für alle Benutzer aufgelistet. Standardmäßig werden diese Informationen aus der/var/log/wtmpDatei gelesen . Die Ausgabe dieses Befehls enthält die folgenden Spalten:Befehl:
$last jasonMethode 2:
Sie können den Befehl
lastlogcommand auch unter Linux verwenden. Sie können die Datumsbereiche genauer steuern, wenn Sie die Protokolle der Benutzeranmeldungen durchsehen.Dies zeigt, dass sich diese Benutzer das letzte Mal an diesem System angemeldet haben. Der Zeitbereich zeigt die letzten 100 Tage. Vor heute (-b 0) und nach 100 Tagen (-t 100).
Sie können auch alle Benutzer anzeigen, indem Sie einen Bereich weglassen und nur alle Benutzer anzeigen, die jemals angemeldet waren, sowie den Zeitpunkt, zu dem sie sich das letzte Mal angemeldet haben.
quelle
>/var/log/wtmp. Dadurch werden alle letzten Protokollinformationen gelöscht.Mit können
lastSie sich die letzten Logins anzeigen lassen. Es gibt auch eine Protokolldatei für authentifizierungsspezifische Aktionen in/var/log/auth.logquelle