Итак, мне нужно знать, когда к моей учетной записи в Ubuntu обращаются. Есть ли какая-нибудь команда, которая покажет мне точное время , когда это произошло. Мне это нужно, потому что я подозреваю, что кто-то дистанционно управляет моим компьютером и что-то меняет.
last
управляйте к спасению last
управляйте шоу данным именем пользователя или всеми именами пользователей:
$ last rick
rick tty7 :0 Wed Apr 24 16:25 gone - no logout
rick tty8 :1 Wed Apr 24 16:24 - down (00:00)
rick tty7 :0 Tue Apr 23 20:12 - down (20:06)
rick tty7 :0 Tue Apr 23 18:30 - crash (01:42)
(...SNIP...)
rick tty7 :0 Tue Apr 2 16:52 - down (00:31)
rick tty7 :0 Tue Apr 2 03:14 - crash (13:37)
По умолчанию это только показывает историю в течение текущего месяца. Если необходимо пойти далее назад в истории, чем один месяц, можно читать /var/log/wtmp.1
файл с last
команда.
last -f wtmp.1 rick
покажет историю предыдущего месяца логинов для пользователя rick
:
$ last -f /var/log/wtmp.1 rick
rick tty7 :0 Sun Mar 31 16:53 gone - no logout
rick tty7 :0 Sat Mar 30 19:18 - down (13:20)
(...SNIP...)
rick tty7 :0 Fri Mar 1 20:55 - down (11:55)
wtmp.1 begins Fri Mar 1 18:23:28 2019
Безопасность укреплена таким образом, что обычные пользователи не могут записать или удалить файл:
$ ll /var/log/wtmp.1
-rw-rw-r-- 1 root utmp 107520 Mar 31 16:53 /var/log/wtmp.1
Консоль использует login
команда, которая записывает данные к /var/log/lastlog
:
$ ll /var/log/lastlog
-rw-rw-r-- 1 root utmp 292292 Apr 24 16:22 /var/log/lastlog
lastlog
файл, хотя не может вмешаться так легко, когда Вы смотрите на Владельца Файла и Группу файлов выше. У "Нормальных" пользователей просто есть доступ для чтения. Это - двоичный файл хотя, таким образом, Вы не можете просто cat
это и получает значимую информацию. Используйте эту команду вместо этого:
$ lastlog
Username Port From Latest
root **Never logged in**
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**
(...SNIP...)
usbmux **Never logged in**
rick tty1 Wed Nov 28 04:19:53 -0700 2018
vnstat **Never logged in**
Интересно видеть все различные идентификаторы пользователей, которые могли войти в систему, но никогда не иметь, и никогда не должен. Я был удивлен, что не вошел в консоль / терминал с ноября в прошлом году.
Это будет показано в /var/log/auth.log
, если «человек», управляющий вашей системой, недостаточно умен для очистки журналов. Вы можете увидеть данные для входа, используя:
sudo cat /var/log/auth.log | grep USERNAME
(где USERNAME
- ваш пользователь).
Однако помимо этого, если в этом журнале ничего нет, а вы действительно действительно думаете, что у вас удаленное управление, я бы предложил чистую установку вашей системы и начать с нуля с разными паролями. и лучше укрепить вашу систему.