3 votos

¿Cómo encuentro el historial de inicio de sesión de usuario?

Por lo tanto, necesito saber cuándo se accede a mi cuenta en Ubuntu. ¿Hay algún comando que me muestre la hora exacta cuando eso sucedió? Necesito esto porque sospecho que alguien está controlando de forma remota mi computadora y cambiando las cosas.

6voto

WinEunuuchs2Unix Puntos 1032

last comando para el rescate

El last comando muestra por un determinado nombre de usuario o nombre de usuario:

$ last rick
rick     tty7         :0               Wed Apr 24 16:25    gone - no logout
rick     tty8         :1               Wed Apr 24 16:24 - down   (00:00)
rick     tty7         :0               Tue Apr 23 20:12 - down   (20:06)
rick     tty7         :0               Tue Apr 23 18:30 - crash  (01:42)
  (...SNIP...)
rick     tty7         :0               Tue Apr  2 16:52 - down   (00:31)
rick     tty7         :0               Tue Apr  2 03:14 - crash  (13:37)

Por defecto sólo muestra la historia para el mes actual. Si usted necesita ir más atrás en la historia de un mes, usted puede leer el /var/log/wtmp.1 de archivo con la last comando.

last -f wtmp.1 rick mostrará el mes anterior en la historia de los inicios de sesión de usuario rick:

$ last -f /var/log/wtmp.1 rick
rick     tty7         :0               Sun Mar 31 16:53    gone - no logout
rick     tty7         :0               Sat Mar 30 19:18 - down   (13:20)
  (...SNIP...)
rick     tty7         :0               Fri Mar  1 20:55 - down   (11:55)

wtmp.1 begins Fri Mar  1 18:23:28 2019

La seguridad es templado tal que los usuarios normales no pueden escribir o eliminar el archivo:

$ ll /var/log/wtmp.1
-rw-rw-r-- 1 root utmp 107520 Mar 31 16:53 /var/log/wtmp.1

Sólo los inicios de sesión de la consola

La consola utiliza el login comando que graba los datos de a /var/log/lastlog:

$ ll /var/log/lastlog
-rw-rw-r-- 1 root utmp 292292 Apr 24 16:22 /var/log/lastlog

El lastlog archivo a pesar de que no puede ser manipulado tan fácilmente cuando se mira en el Archivo de Propietario y Grupo del Archivo anterior. "Normal", los usuarios sólo tienen acceso de lectura. Es un archivo binario a pesar de que por lo tanto no pueden cat y obtener información significativa. El uso de este comando en su lugar:

$ lastlog
Username         Port     From             Latest
root                                       **Never logged in**
daemon                                     **Never logged in**
bin                                        **Never logged in**
sys                                        **Never logged in**
  (...SNIP...)
usbmux                                     **Never logged in**
rick             tty1                      Wed Nov 28 04:19:53 -0700 2018
vnstat                                     **Never logged in**

Es interesante ver todas las diferentes Id de usuario que puede iniciar sesión en pero nunca tienen y nunca debe. Yo estaba sorprendido de que yo no he iniciado sesión en la consola / terminal desde noviembre del año pasado.

4voto

Zee Puntos 118

Este sería el que se muestra en /var/log/auth.log si la "persona" controlar el sistema a distancia, no es lo suficientemente inteligente como para limpiar los registros. Usted puede ser capaz de ver los datos de inicio de sesión mediante el uso de:

sudo cat /var/log/auth.log | grep USERNAME

(donde USERNAME es tu usuario).

Más allá de esto, sin embargo, si no hay nada en este registro, y realmente creo que estamos siendo controlados de forma remota, sugeriría que la limpieza de la instalación de su sistema y empezar desde cero con diferentes contraseñas y mejor el endurecimiento de tu sistema.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: