Sospecho que un compañero de cuarto obtuvo mi contraseña y quiero confirmar esta hipótesis. ¿Existe un registro que realice un seguimiento de los inicios de sesión exitosos y fallidos?
PD: Intenté usar el registro de motivos de activación, pero no es preciso.
Usaría el comando Terminal last
para obtener una lista más completa de inicios de sesión.
Ejecutar el comando last [yourusername]
generará una lista de inicios de sesión de consola y tty.
Ej: last icondaemon
genera:
icondaemon ttys000 Wed Feb 21 08:12 still logged in
icondaemon console Wed Feb 21 07:57 still logged in
icondaemon console Tue Feb 20 07:52 - 15:24 (07:31)
icondaemon console Fri Feb 16 07:16 - 16:03 (08:46)
icondaemon console Thu Feb 15 07:33 - 16:25 (08:51)
icondaemon ttys000 Wed Feb 14 09:34 - 09:34 (00:00)
icondaemon ttys000 Wed Feb 14 09:34 - 09:34 (00:00)
icondaemon console Wed Feb 14 07:36 - 16:19 (08:42)
icondaemon console Tue Feb 13 07:31 - 15:57 (08:25)
icondaemon console Mon Feb 12 07:32 - 16:30 (08:57)
icondaemon console Fri Feb 9 08:51 - 15:48 (06:57)
...
icondaemon ttys000 Wed Nov 1 15:22 - 15:22 (00:00)
icondaemon ttys000 Wed Nov 1 15:21 - 15:21 (00:00)
icondaemon console Wed Nov 1 11:36 - 15:53 (04:16)
No estoy seguro de qué sucedió el 1 de noviembre para transferir el registro.
periodic / monthly
corrió el 1 de noviembre.periodic
comando manualmente, pero la lista sigue siendo la misma./etc/periodic/monthly/200.accounting
_
Alano
usuario264053
syslog | grep 'login\['
de la entrada más reciente es del 19 de febrero y me conecté hoy (21 de febrero). Lo que sea que esté registrando, no está actualizadoAlano
dan
syslog
no es suficiente para ayudarte aquí. Deberías mirar lo guardadosyslog
:zgrep 'login\[' /var/log/system.log.*.gz
.dan
ssh
RATARD
? tu contraseña: ¿está compartida en un servidor que se vio comprometido? ¿Es bastante fácil? ¿La escribiste en alguna parte?usuario264053