Как я могу проверить, получил ли кто-нибудь доступ к моему компьютеру?

Question 1

Мне нужно проверить список файлов, к которым обращались на моем компьютере (например, вчера в определенное время). Является ли это возможным?

Или

Мне нужно проверить, обращался ли кто-нибудь к моему компьютеру (когда я оставил его разблокированным) или нет в течение определенного времени.

Question 2

Я предполагаю, что вы не думаете, что ваш компьютер был полностью скомпрометирован (чтобы проверить, кто выполнял команды sudo, смотрите /var/log/auth.log). Можно быстро найти файлы, не принадлежащие вашему пользователю, в вашей домашней папке, а также в то время, когда к любым файлам был получен доступ с помощью команды find (используйте -тип f для файлов и -тип d для каталогов). Для следующих примеров я предполагаю, что вы запускаетесь с верхнего уровня вашей домашней папки (просто введите cd, чтобы добраться до нее), и что вы не хотите искать файлы в корневой директории.

1) Чтобы найти в вашей домашней папке все файлы, которые НЕ принадлежат зарегистрированному пользователю, введите:

find ~ -type f ! -user $USER

1.1) Чтобы найти все файлы, которые не принадлежат ни одному из зарегистрированных пользователей (их не должно быть), введите:

find ~ -type f -nouser

2). Так как файлы в системе имеют три временные метки mtime (время модификации файла), ctime (время изменения кода и разрешения) и atime (время доступа к файлу), их можно запросить, чтобы узнать, как файлы были модифицированы. Часто обсуждается, какой из них лучше всего использовать, но, возможно, лучший способ узнать, когда файлы были доступны или изменены - это использовать команду find для поиска atime и mtime, с которым вы указали несколько дней назад, и дополнительные найдите опции amin и mmin, с которыми вы указали несколько минут назад. Для каждой из этих команд используются одни и те же переключатели команд: например, -atime 1 будет соответствовать тем файлам, к которым вы обращались 1 день назад точно ; чтобы указать больше или меньше, чем , добавьте + или -, соответственно. Примеры ниже могут прояснить все это (укажите -тип d для каталогов):

find ~ -type f -atime 1 
find ~ -type f -amin -23
find ~ -type f -mtime 2    
find ~ -type f -mmin -45

3) Чтобы объединить мои подходы до сих пор, вы можете ввести следующие команды из вашей домашней папки:

Поиск файлов в вашей домашней папке, не принадлежащей $USER и доступ к которым был последний раз получен менее двух дней назад.

найти ~ -тип f -atime -2 ! -user $USER

Ищите файлы в домашнем каталоге, который не принадлежит $USER и к которому последний раз обращались менее двух дней назад.

найдите ~ -type f -mtime -2 ! -user $USER

Question 3

Question 4

Если ваш компьютер должен был быть заблокирован, то вы можете проверить автожурнал, который записывает каждое событие входа и разблокировки с датой и временем.

Нет прямого способа узнать, имел ли кто-то доступ к разблокированному компьютеру, без установки специальной программы для отслеживания активности. Но косвенная информация может быть использована для того, чтобы сделать вывод о доступе.

История браузера, например, часто сообщает, в какое время был осуществлен доступ к веб-сайтам. Также недавно открытые файлы gnome будут показывать открытые файлы. Вы можете добраться до этого, зайдя в Dash Menu Unity и щелкнув мышью на разделе недавно использованных файлов:

recently used files in unity

Если вам нужен более полный список (включающий файлы, к которым обращаются программы, не являющиеся gnome), то нам понадобится написать короткий скрипт, чтобы обнаружить все файлы с доступом или временем записи между подозреваемыми диапазонами. Возможно, кто-то уже написал это, но я никогда не слышал об этом.

rwarvi · Answer 1 · 8 April 2017 в 10:45

Я предполагаю, что вы не думаете, что ваш компьютер был полностью скомпрометирован (чтобы проверить, кто выполнял команды sudo, смотрите /var/log/auth.log). Можно быстро найти файлы, не принадлежащие вашему пользователю, в вашей домашней папке, а также в то время, когда к любым файлам был получен доступ с помощью команды find (используйте -тип f для файлов и -тип d для каталогов). Для следующих примеров я предполагаю, что вы запускаетесь с верхнего уровня вашей домашней папки (просто введите cd, чтобы добраться до нее), и что вы не хотите искать файлы в корневой директории.

1) Чтобы найти в вашей домашней папке все файлы, которые НЕ принадлежат зарегистрированному пользователю, введите:

find ~ -type f ! -user $USER

1.1) Чтобы найти все файлы, которые не принадлежат ни одному из зарегистрированных пользователей (их не должно быть), введите:

find ~ -type f -nouser

2). Так как файлы в системе имеют три временные метки mtime (время модификации файла), ctime (время изменения кода и разрешения) и atime (время доступа к файлу), их можно запросить, чтобы узнать, как файлы были модифицированы. Часто обсуждается, какой из них лучше всего использовать, но, возможно, лучший способ узнать, когда файлы были доступны или изменены - это использовать команду find для поиска atime и mtime, с которым вы указали несколько дней назад, и дополнительные найдите опции amin и mmin, с которыми вы указали несколько минут назад. Для каждой из этих команд используются одни и те же переключатели команд: например, -atime 1 будет соответствовать тем файлам, к которым вы обращались 1 день назад точно ; чтобы указать больше или меньше, чем , добавьте + или -, соответственно. Примеры ниже могут прояснить все это (укажите -тип d для каталогов):

find ~ -type f -atime 1 
find ~ -type f -amin -23
find ~ -type f -mtime 2    
find ~ -type f -mmin -45

3) Чтобы объединить мои подходы до сих пор, вы можете ввести следующие команды из вашей домашней папки:

Поиск файлов в вашей домашней папке, не принадлежащей $USER и доступ к которым был последний раз получен менее двух дней назад.

найти ~ -тип f -atime -2 ! -user $USER

Ищите файлы в домашнем каталоге, который не принадлежит $USER и к которому последний раз обращались менее двух дней назад.

найдите ~ -type f -mtime -2 ! -user $USER

Martin Owens -doctormo- · Answer 2 · 8 April 2017 в 10:45

Если ваш компьютер должен был быть заблокирован, то вы можете проверить автожурнал, который записывает каждое событие входа и разблокировки с датой и временем.

Нет прямого способа узнать, имел ли кто-то доступ к разблокированному компьютеру, без установки специальной программы для отслеживания активности. Но косвенная информация может быть использована для того, чтобы сделать вывод о доступе.

История браузера, например, часто сообщает, в какое время был осуществлен доступ к веб-сайтам. Также недавно открытые файлы gnome будут показывать открытые файлы. Вы можете добраться до этого, зайдя в Dash Menu Unity и щелкнув мышью на разделе недавно использованных файлов:

recently used files in unity

Если вам нужен более полный список (включающий файлы, к которым обращаются программы, не являющиеся gnome), то нам понадобится написать короткий скрипт, чтобы обнаружить все файлы с доступом или временем записи между подозреваемыми диапазонами. Возможно, кто-то уже написал это, но я никогда не слышал об этом.

Как я могу проверить, получил ли кто-нибудь доступ к моему компьютеру?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: