Sospecho que un compañero de cuarto obtuvo mi contraseña y quiero confirmar esta hipótesis. ¿Existe un registro que realice un seguimiento de los inicios de sesión exitosos y fallidos?
PD: Intenté usar el registro de motivos de activación, pero no es preciso.
Usaría el comando Terminal lastpara obtener una lista más completa de inicios de sesión.
Ejecutar el comando last [yourusername]generará una lista de inicios de sesión de consola y tty.
Ej: last icondaemongenera:
icondaemon ttys000 Wed Feb 21 08:12 still logged in
icondaemon console Wed Feb 21 07:57 still logged in
icondaemon console Tue Feb 20 07:52 - 15:24 (07:31)
icondaemon console Fri Feb 16 07:16 - 16:03 (08:46)
icondaemon console Thu Feb 15 07:33 - 16:25 (08:51)
icondaemon ttys000 Wed Feb 14 09:34 - 09:34 (00:00)
icondaemon ttys000 Wed Feb 14 09:34 - 09:34 (00:00)
icondaemon console Wed Feb 14 07:36 - 16:19 (08:42)
icondaemon console Tue Feb 13 07:31 - 15:57 (08:25)
icondaemon console Mon Feb 12 07:32 - 16:30 (08:57)
icondaemon console Fri Feb 9 08:51 - 15:48 (06:57)
...
icondaemon ttys000 Wed Nov 1 15:22 - 15:22 (00:00)
icondaemon ttys000 Wed Nov 1 15:21 - 15:21 (00:00)
icondaemon console Wed Nov 1 11:36 - 15:53 (04:16)
No estoy seguro de qué sucedió el 1 de noviembre para transferir el registro.
periodic / monthlycorrió el 1 de noviembre.periodiccomando manualmente, pero la lista sigue siendo la misma./etc/periodic/monthly/200.accounting_
Alano
usuario264053
syslog | grep 'login\['de la entrada más reciente es del 19 de febrero y me conecté hoy (21 de febrero). Lo que sea que esté registrando, no está actualizadoAlano
dan
syslogno es suficiente para ayudarte aquí. Deberías mirar lo guardadosyslog:zgrep 'login\[' /var/log/system.log.*.gz.dan
sshRATARD? tu contraseña: ¿está compartida en un servidor que se vio comprometido? ¿Es bastante fácil? ¿La escribiste en alguna parte?usuario264053