Come posso sapere se qualcuno ha effettuato l'accesso al mio computer tramite putty?

26

Sospetto che un utente Windows abbia effettuato l'accesso al mio computer con la mia password. Quindi, è possibile che riesca a vedere una traccia di accesso sul mio computer?

12.04  windows  putty 
J.Doe
fonte
Se quella persona aveva accesso root al tuo sistema (tramite sudo per esempio), allora non puoi essere sicuro che non abbiano manomesso i log.
Léo Lam,

Risposte:

28

Metodo 1:

Ottieni la cronologia degli accessi utente in qualsiasi momento

lastIl comando fornirà la cronologia di accesso per un nome utente specifico. Se non forniamo alcun argomento per questo comando, elencherà la cronologia degli accessi per tutti gli utenti. Per impostazione predefinita, queste informazioni verranno lette dal /var/log/wtmpfile. L'output di questo comando contiene le seguenti colonne:

  • Nome utente
  • Numero di dispositivo Tty
  • Data e ora di accesso
  • Tempo di disconnessione
  • Orario di lavoro totale

Comando: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Metodo 2:

Puoi anche usare il comando lastlogcommand su Linux. Ti dà controlli più granulari per quanto riguarda gli intervalli di date quando si guarda attraverso i registri degli accessi utente.

Pagina man di lastlog:

lastlog - reports the most recent login of all users or of a given user

Esempio: per scoprire gli utenti che hanno effettuato l'accesso a un sistema negli ultimi 100 giorni.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Ciò dimostra che le ultime volte questi utenti hanno effettuato l'accesso a questo sistema. L'intervallo di tempo mostra gli ultimi 100 giorni. Prima di oggi (-b 0) e dopo 100 giorni fa (-t 100).

Puoi anche mostrare a tutti gli utenti omettendo qualsiasi intervallo e vedendo tutti gli utenti che hanno mai effettuato l'accesso e l'ultima volta che hanno effettuato l'accesso.

curiosare
fonte
4
Come posso cancellare la mia traccia dopo il login nel suo computer? :)
Katu,
Provate a sostituire un file in questo modo utilizzando l'accesso sudo: >/var/log/wtmp. Ciò eliminerà tutte le informazioni dell'ultimo registro.
ficcanaso il
La cosa bella di wtmp è che è un file sparso. Posso / dire / se elimini un record da esso.
Giosuè,
8

Puoi usare lastper mostrarti gli ultimi accessi. Esiste anche un file di registro per le azioni specifiche di autenticazione in/var/log/auth.log

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.