Comment puis-je savoir si quelqu'un s'est connecté à mon ordinateur via du mastic?

26

Je soupçonne qu'un utilisateur Windows s'est connecté à mon ordinateur avec mon mot de passe. Alors, est-il possible que je puisse voir une trace de connexion sur mon ordinateur?

J.Doe
la source
Si cette personne avait un accès root à votre système (via sudo par exemple), alors vous ne pouvez pas être sûr qu'elle n'a pas falsifié les journaux.
Léo Lam

Réponses:

28

Méthode 1:

Obtenez à tout moment l'historique de connexion des utilisateurs

lastLa commande donnera l'historique de connexion pour un nom d'utilisateur spécifique. Si nous ne donnons aucun argument pour cette commande, elle répertoriera l'historique de connexion pour tous les utilisateurs. Par défaut, ces informations seront lues à partir du /var/log/wtmpfichier. La sortie de cette commande contient les colonnes suivantes:

  • Nom d'utilisateur
  • Numéro d'appareil Tty
  • Date et heure de connexion
  • Heure de déconnexion
  • Temps de travail total

Commander: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Méthode 2:

Vous pouvez également utiliser la commande lastlogcommand sur Linux. Il vous donne des contrôles plus précis quant aux plages de dates lorsque vous parcourez les journaux des connexions utilisateur.

page de manuel lastlog:

lastlog - reports the most recent login of all users or of a given user

Exemple: pour connaître les utilisateurs qui se sont connectés à un système au cours des 100 derniers jours.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Cela montre que la dernière fois que ces utilisateurs se sont connectés à ce système. La plage de temps affiche les 100 derniers jours. Avant aujourd'hui (-b 0) et après 100 jours (-t 100).

Vous pouvez également afficher tous les utilisateurs en omettant n'importe quelle plage et en voyant simplement tous les utilisateurs qui se sont connectés, et la dernière fois qu'ils se sont connectés.

fouiner
la source
4
Comment puis-je supprimer ma trace après m'être connecté à son ordinateur? :)
Katu
Essayez de remplacer un fichier comme celui - ci en utilisant l' accès sudo: >/var/log/wtmp. Cela supprimera toutes les dernières informations du journal.
fouiner le
La bonne chose à propos de wtmp est que c'est un fichier clairsemé. Je peux / dire / si vous en supprimez un enregistrement.
Joshua
8

Vous pouvez utiliser lastpour vous montrer les dernières connexions. Il existe également un fichier journal pour les actions spécifiques à l'authentification dans/var/log/auth.log


la source