¿Cómo puedo saber si alguien inició sesión en mi computadora a través de masilla?
26
Sospecho que un usuario de Windows inició sesión en mi computadora con mi contraseña. Entonces, ¿es posible que pueda ver un rastro de inicio de sesión en mi computadora?
Si esa persona tenía acceso raíz a su sistema (a través de sudo, por ejemplo), entonces no puede estar seguro de que no haya alterado los registros.
Léo Lam
Respuestas:
28
Método 1:
Obtenga el historial de inicio de sesión del usuario en cualquier momento
lastEl comando proporcionará el historial de inicio de sesión para un nombre de usuario específico. Si no damos ningún argumento para este comando, enumerará el historial de inicio de sesión para todos los usuarios. Por defecto, esta información se leerá del /var/log/wtmparchivo. El resultado de este comando contiene las siguientes columnas:
Nombre de usuario
Número de dispositivo tty
Fecha y hora de inicio de sesión
Tiempo de cierre de sesión
Tiempo de trabajo total
Mando: $last jason
jason pts/0 dev-db-server Fri Mar 27 22:57 still logged in
jason pts/0 dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)
jason pts/0 dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)
jason pts/1 dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)
jason pts/0 192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)
jason pts/1 192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)
jason pts/0 dev-db-server Wed Mar 11 20:11 - 20:50 (00:39
Método 2:
También puede usar el comando lastlogcommand en Linux. Le brinda controles más granulares en cuanto a rangos de fechas cuando busca en los registros de inicios de sesión de los usuarios.
Página del manual de lastlog:
lastlog - reports the most recent login of all users or of a given user
Ejemplo: para averiguar los usuarios que han iniciado sesión en un sistema en los últimos 100 días.
$ lastlog -b 0 -t 100
Username Port From Latest
sam pts/0 pegasus Wed Jan 8 20:32:25 -0500 2014
joe pts/0 192.168.1.105 Thu Dec 12 12:47:11 -0500 2013
Esto muestra que las últimas veces que estos usuarios iniciaron sesión en este sistema. El rango de tiempo muestra los últimos 100 días. Antes de hoy (-b 0) y después de hace 100 días (-t 100).
También puede mostrar a todos los usuarios omitiendo cualquier rango y simplemente viendo cada usuario que haya iniciado sesión y la última vez que iniciaron sesión.
¿Cómo puedo eliminar mi rastro después de iniciar sesión en su computadora? :)
Katu
Trate de sustituir un archivo como esto usando el acceso sudo: >/var/log/wtmp. Esto eliminará toda la información del último registro.
fisgón
Lo bueno de wtmp es que es un archivo escaso. Puedo / decir / si eliminas un registro de él.
Joshua
8
Puede usar lastpara mostrarle los últimos inicios de sesión. También hay un archivo de registro para acciones específicas de autenticación en/var/log/auth.log
Respuestas:
Método 1:
last
El comando proporcionará el historial de inicio de sesión para un nombre de usuario específico. Si no damos ningún argumento para este comando, enumerará el historial de inicio de sesión para todos los usuarios. Por defecto, esta información se leerá del/var/log/wtmp
archivo. El resultado de este comando contiene las siguientes columnas:Mando:
$last jason
Método 2:
También puede usar el comando
lastlog
command en Linux. Le brinda controles más granulares en cuanto a rangos de fechas cuando busca en los registros de inicios de sesión de los usuarios.Esto muestra que las últimas veces que estos usuarios iniciaron sesión en este sistema. El rango de tiempo muestra los últimos 100 días. Antes de hoy (-b 0) y después de hace 100 días (-t 100).
También puede mostrar a todos los usuarios omitiendo cualquier rango y simplemente viendo cada usuario que haya iniciado sesión y la última vez que iniciaron sesión.
fuente
>/var/log/wtmp
. Esto eliminará toda la información del último registro.Puede usar
last
para mostrarle los últimos inicios de sesión. También hay un archivo de registro para acciones específicas de autenticación en/var/log/auth.log
fuente