¿Cómo puedo saber si alguien inició sesión en mi computadora a través de masilla?

26

Sospecho que un usuario de Windows inició sesión en mi computadora con mi contraseña. Entonces, ¿es posible que pueda ver un rastro de inicio de sesión en mi computadora?

J.Doe
fuente
Si esa persona tenía acceso raíz a su sistema (a través de sudo, por ejemplo), entonces no puede estar seguro de que no haya alterado los registros.
Léo Lam

Respuestas:

28

Método 1:

Obtenga el historial de inicio de sesión del usuario en cualquier momento

lastEl comando proporcionará el historial de inicio de sesión para un nombre de usuario específico. Si no damos ningún argumento para este comando, enumerará el historial de inicio de sesión para todos los usuarios. Por defecto, esta información se leerá del /var/log/wtmparchivo. El resultado de este comando contiene las siguientes columnas:

  • Nombre de usuario
  • Número de dispositivo tty
  • Fecha y hora de inicio de sesión
  • Tiempo de cierre de sesión
  • Tiempo de trabajo total

Mando: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Método 2:

También puede usar el comando lastlogcommand en Linux. Le brinda controles más granulares en cuanto a rangos de fechas cuando busca en los registros de inicios de sesión de los usuarios.

Página del manual de lastlog:

lastlog - reports the most recent login of all users or of a given user

Ejemplo: para averiguar los usuarios que han iniciado sesión en un sistema en los últimos 100 días.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Esto muestra que las últimas veces que estos usuarios iniciaron sesión en este sistema. El rango de tiempo muestra los últimos 100 días. Antes de hoy (-b 0) y después de hace 100 días (-t 100).

También puede mostrar a todos los usuarios omitiendo cualquier rango y simplemente viendo cada usuario que haya iniciado sesión y la última vez que iniciaron sesión.

fisgonear
fuente
44
¿Cómo puedo eliminar mi rastro después de iniciar sesión en su computadora? :)
Katu
Trate de sustituir un archivo como esto usando el acceso sudo: >/var/log/wtmp. Esto eliminará toda la información del último registro.
fisgón
Lo bueno de wtmp es que es un archivo escaso. Puedo / decir / si eliminas un registro de él.
Joshua
8

Puede usar lastpara mostrarle los últimos inicios de sesión. También hay un archivo de registro para acciones específicas de autenticación en/var/log/auth.log


fuente