Вопросы Теги

Как мне найти историю входа пользователя?

Итак, мне нужно знать, когда к моей учетной записи в Ubuntu обращаются. Есть ли какая-нибудь команда, которая покажет мне точное время , когда это произошло. Мне это нужно, потому что я подозреваю, что кто-то дистанционно управляет моим компьютером и что-то меняет.

3
задан 1 May 2019 в 04:32

2 ответа

last управляйте к спасению

last управляйте шоу данным именем пользователя или всеми именами пользователей:

$ last rick
rick     tty7         :0               Wed Apr 24 16:25    gone - no logout
rick     tty8         :1               Wed Apr 24 16:24 - down   (00:00)
rick     tty7         :0               Tue Apr 23 20:12 - down   (20:06)
rick     tty7         :0               Tue Apr 23 18:30 - crash  (01:42)
  (...SNIP...)
rick     tty7         :0               Tue Apr  2 16:52 - down   (00:31)
rick     tty7         :0               Tue Apr  2 03:14 - crash  (13:37)

По умолчанию это только показывает историю в течение текущего месяца. Если необходимо пойти далее назад в истории, чем один месяц, можно читать /var/log/wtmp.1 файл с last команда.

last -f wtmp.1 rick покажет историю предыдущего месяца логинов для пользователя rick:

$ last -f /var/log/wtmp.1 rick
rick     tty7         :0               Sun Mar 31 16:53    gone - no logout
rick     tty7         :0               Sat Mar 30 19:18 - down   (13:20)
  (...SNIP...)
rick     tty7         :0               Fri Mar  1 20:55 - down   (11:55)

wtmp.1 begins Fri Mar  1 18:23:28 2019

Безопасность укреплена таким образом, что обычные пользователи не могут записать или удалить файл:

$ ll /var/log/wtmp.1
-rw-rw-r-- 1 root utmp 107520 Mar 31 16:53 /var/log/wtmp.1

Консоль только входит в систему

Консоль использует login команда, которая записывает данные к /var/log/lastlog:

$ ll /var/log/lastlog
-rw-rw-r-- 1 root utmp 292292 Apr 24 16:22 /var/log/lastlog

lastlog файл, хотя не может вмешаться так легко, когда Вы смотрите на Владельца Файла и Группу файлов выше. У "Нормальных" пользователей просто есть доступ для чтения. Это - двоичный файл хотя, таким образом, Вы не можете просто cat это и получает значимую информацию. Используйте эту команду вместо этого:

$ lastlog
Username         Port     From             Latest
root                                       **Never logged in**
daemon                                     **Never logged in**
bin                                        **Never logged in**
sys                                        **Never logged in**
  (...SNIP...)
usbmux                                     **Never logged in**
rick             tty1                      Wed Nov 28 04:19:53 -0700 2018
vnstat                                     **Never logged in**

Интересно видеть все различные идентификаторы пользователей, которые могли войти в систему, но никогда не иметь, и никогда не должен. Я был удивлен, что не вошел в консоль / терминал с ноября в прошлом году.

6
ответ дан 1 May 2019 в 04:32

Это будет показано в /var/log/auth.log, если «человек», управляющий вашей системой, недостаточно умен для очистки журналов. Вы можете увидеть данные для входа, используя: 

sudo cat /var/log/auth.log | grep USERNAME

(где USERNAME - ваш пользователь).

Однако помимо этого, если в этом журнале ничего нет, а вы действительно действительно думаете, что у вас удаленное управление, я бы предложил чистую установку вашей системы и начать с нуля с разными паролями. и лучше укрепить вашу систему.

0
ответ дан 1 May 2019 в 04:32

Другие вопросы по тегам:

Похожие вопросы: