Lista de intentos fallidos de inicio de sesión en Mavericks

9

Quiero ver si alguien ha intentado iniciar sesión en mi computadora, que ejecuta Mavericks. Estoy principalmente interesado en rastrear intentos de inicio de sesión ssh, así como rastrear físicamente a las personas que escriben contraseñas en mi teclado para intentar iniciar sesión.

Relacionado

He visto ¿Cómo iniciar sesión y cerrar sesión en Mavericks? , pero lastparece enumerar solo inicios de sesión exitosos, o al menos en su mayoría muestra inicios de sesión exitosos.

También he visto una respuesta acerca de buscar en system.log o "todos los mensajes", usando la utilidad de la consola, pero esos archivos / mensajes parecen muy desordenados.

Preguntas y respuestas relacionadas para versiones anteriores de OSX

macos mavericks security login logs Jacob Akkerboom
fuente
¿Está buscando rastrear el inicio de sesión ssh, el inicio de sesión de la consola local, el inicio de sesión de uso compartido de pantalla, la apertura de terminal? ¿Qué significa "iniciar sesión" y está buscando alguna solución o solo una que sea programable desde un shell?
bmike
@bmike No sé qué es un inicio de sesión para compartir pantalla. Estoy interesado en las dos primeras opciones, shh y consola local. Hace un tiempo, mi cuenta en un servidor de amigos fue pirateada, ya que las credenciales que inventamos eran tontas y habíamos habilitado ssh. Afortunadamente no se causó daño. Me preguntaba si tales ataques podrían encontrarse en un registro, pero también estoy interesado en que las personas
escriban
Excelente refinamiento en la pregunta. He tenido la intención de preguntar cómo configurar un disparador ssh para evitar intentos repetidos de inicio de sesión. Las respuestas aquí podrían darme algunas ideas sobre cómo implementar ese tipo de protección automatizada.
bmike

Respuestas:

7

Puedes usar este comando de Terminal:

cat /private/var/log/system.log | grep "Failed to authenticate"

Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
grg
fuente
+1. Desafortunadamente, system.log solo contiene entradas del 11 de febrero.
Jacob Akkerboom
3
Algo así como zgrep "whatever" /path/to/system.log*con algún procesamiento comprobaría todos los registros comprimidos que permanecen en el sistema. Me pregunto si hay una manera de llamar al registrador del sistema de Apple para obtener una vista más plana del contenido de varios archivos de registro.
bmike
Todo en Yosemite: BAD SUy incorrect passwordson palabras clave para buscar intentos fallidos de autenticación por suy sudorespectivamente. Ssh genera authentication error foren este mismo archivo de registro. No pude generar un mensaje que contenga Failed to authenticate.
Jacob Akkerboom