Wie kann ich herausfinden, ob sich jemand über Putty an meinem Computer angemeldet hat?


26

Ich vermute, dass sich ein Windows-Benutzer mit meinem Kennwort an meinem Computer angemeldet hat. Ist es also möglich, dass ich eine Spur der Anmeldung auf meinem Computer sehe?


Wenn diese Person Root-Zugriff auf Ihr System hatte (z. B. über sudo), können Sie nicht sicher sein, dass sie die Protokolle nicht manipuliert hat.
Léo Lam

Antworten:


28

Methode 1:

Sie können jederzeit den Anmeldeverlauf des Benutzers abrufen

lastDer Befehl gibt den Anmeldeverlauf für einen bestimmten Benutzernamen an. Wenn wir für diesen Befehl kein Argument angeben, wird der Anmeldeverlauf für alle Benutzer aufgelistet. Standardmäßig werden diese Informationen aus der /var/log/wtmpDatei gelesen . Die Ausgabe dieses Befehls enthält die folgenden Spalten:

  • Nutzername
  • Tty Gerätenummer
  • Login Datum und Uhrzeit
  • Abmeldezeit
  • Gesamtarbeitszeit

Befehl: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

Methode 2:

Sie können den Befehl lastlogcommand auch unter Linux verwenden. Sie können die Datumsbereiche genauer steuern, wenn Sie die Protokolle der Benutzeranmeldungen durchsehen.

Letzte Log-Manpage:

lastlog - reports the most recent login of all users or of a given user

Beispiel: Ermitteln der Benutzer, die sich in den letzten 100 Tagen bei einem System angemeldet haben.

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

Dies zeigt, dass sich diese Benutzer das letzte Mal an diesem System angemeldet haben. Der Zeitbereich zeigt die letzten 100 Tage. Vor heute (-b 0) und nach 100 Tagen (-t 100).

Sie können auch alle Benutzer anzeigen, indem Sie einen Bereich weglassen und nur alle Benutzer anzeigen, die jemals angemeldet waren, sowie den Zeitpunkt, zu dem sie sich das letzte Mal angemeldet haben.


4
Wie kann ich meinen Trace nach dem Einloggen in seinen Computer löschen? :)
Katu

Versuchen Sie, eine Datei wie dieser mit sudo Zugang außer Kraft zu setzen: >/var/log/wtmp. Dadurch werden alle letzten Protokollinformationen gelöscht.
Snoop

Das Schöne an wtmp ist, dass es eine spärliche Datei ist. Ich kann sagen, ob Sie einen Datensatz daraus löschen.
Joshua

8

Mit können lastSie sich die letzten Logins anzeigen lassen. Es gibt auch eine Protokolldatei für authentifizierungsspezifische Aktionen in/var/log/auth.log

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.