Comment puis-je savoir si quelqu'un s'est connecté à mon ordinateur via du mastic?
26
Je soupçonne qu'un utilisateur Windows s'est connecté à mon ordinateur avec mon mot de passe. Alors, est-il possible que je puisse voir une trace de connexion sur mon ordinateur?
Si cette personne avait un accès root à votre système (via sudo par exemple), alors vous ne pouvez pas être sûr qu'elle n'a pas falsifié les journaux.
Léo Lam
Réponses:
28
Méthode 1:
Obtenez à tout moment l'historique de connexion des utilisateurs
lastLa commande donnera l'historique de connexion pour un nom d'utilisateur spécifique. Si nous ne donnons aucun argument pour cette commande, elle répertoriera l'historique de connexion pour tous les utilisateurs. Par défaut, ces informations seront lues à partir du /var/log/wtmpfichier. La sortie de cette commande contient les colonnes suivantes:
Nom d'utilisateur
Numéro d'appareil Tty
Date et heure de connexion
Heure de déconnexion
Temps de travail total
Commander: $last jason
jason pts/0 dev-db-server Fri Mar 27 22:57 still logged in
jason pts/0 dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)
jason pts/0 dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)
jason pts/1 dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)
jason pts/0 192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)
jason pts/1 192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)
jason pts/0 dev-db-server Wed Mar 11 20:11 - 20:50 (00:39
Méthode 2:
Vous pouvez également utiliser la commande lastlogcommand sur Linux. Il vous donne des contrôles plus précis quant aux plages de dates lorsque vous parcourez les journaux des connexions utilisateur.
page de manuel lastlog:
lastlog - reports the most recent login of all users or of a given user
Exemple: pour connaître les utilisateurs qui se sont connectés à un système au cours des 100 derniers jours.
$ lastlog -b 0 -t 100
Username Port From Latest
sam pts/0 pegasus Wed Jan 8 20:32:25 -0500 2014
joe pts/0 192.168.1.105 Thu Dec 12 12:47:11 -0500 2013
Cela montre que la dernière fois que ces utilisateurs se sont connectés à ce système. La plage de temps affiche les 100 derniers jours. Avant aujourd'hui (-b 0) et après 100 jours (-t 100).
Vous pouvez également afficher tous les utilisateurs en omettant n'importe quelle plage et en voyant simplement tous les utilisateurs qui se sont connectés, et la dernière fois qu'ils se sont connectés.
Comment puis-je supprimer ma trace après m'être connecté à son ordinateur? :)
Katu
Essayez de remplacer un fichier comme celui - ci en utilisant l' accès sudo: >/var/log/wtmp. Cela supprimera toutes les dernières informations du journal.
fouiner le
La bonne chose à propos de wtmp est que c'est un fichier clairsemé. Je peux / dire / si vous en supprimez un enregistrement.
Joshua
8
Vous pouvez utiliser lastpour vous montrer les dernières connexions. Il existe également un fichier journal pour les actions spécifiques à l'authentification dans/var/log/auth.log
Réponses:
Méthode 1:
last
La commande donnera l'historique de connexion pour un nom d'utilisateur spécifique. Si nous ne donnons aucun argument pour cette commande, elle répertoriera l'historique de connexion pour tous les utilisateurs. Par défaut, ces informations seront lues à partir du/var/log/wtmp
fichier. La sortie de cette commande contient les colonnes suivantes:Commander:
$last jason
Méthode 2:
Vous pouvez également utiliser la commande
lastlog
command sur Linux. Il vous donne des contrôles plus précis quant aux plages de dates lorsque vous parcourez les journaux des connexions utilisateur.Cela montre que la dernière fois que ces utilisateurs se sont connectés à ce système. La plage de temps affiche les 100 derniers jours. Avant aujourd'hui (-b 0) et après 100 jours (-t 100).
Vous pouvez également afficher tous les utilisateurs en omettant n'importe quelle plage et en voyant simplement tous les utilisateurs qui se sont connectés, et la dernière fois qu'ils se sont connectés.
la source
>/var/log/wtmp
. Cela supprimera toutes les dernières informations du journal.Vous pouvez utiliser
last
pour vous montrer les dernières connexions. Il existe également un fichier journal pour les actions spécifiques à l'authentification dans/var/log/auth.log
la source