Skocz do zawartości

Witaj!

Zaloguj lub Zarejestruj się aby uzyskać pełny dostęp do forum.

Zdjęcie
- - - - -

Jak sprawdzić kto się logował do systemu.

Rozpoczęty przez salvage , 02 lut 2010 16:16

  • Zaloguj się, aby dodać odpowiedź
9 odpowiedzi w tym temacie

#1 salvage

salvage
  • 9 postów

Napisano 02 lutego 2010 - 16:16

Witam, Jak sprawdzić w logach systemowych, czy ktoś znający hasło administratora zalogował się przez sieć do systemu Mac OS X Leopard i pobrał jakieś dane?

#2 Haseo

Haseo
  • 245 postów
  • Skądinąd

Napisano 02 lutego 2010 - 19:58

Dane logowania znajdują się w pliku secure.log. W konsoli podejrzyj sobie ten plik i w polu szukaj wpisz sshd, to powinno pokazać ci kto logował się przez ssh. Oby ten ktoś okazał się idiotą i nie pokasował logów. W przeciwnym razie może być ciężko.

#3 salvage

salvage
  • 9 postów

Napisano 03 lutego 2010 - 04:16

Dzieki za help, gdyz nigdy na macu nie potrzebowalem sprawdzac takich rzeczy i nie bylem pewien czy szukam we wlasciwym miejscu. Przejrzalem logi i nie znalazlem zadnej informacji o logowaniu, natomiast same logi sa. Czy mozliwe jest wykasowanie tylko czesci rekordow dotyczacych logowania, czy jedyna opcja jest wykasowanie calego pliku secure.log. Jest jeszcze jakas inna opcja polaczenia niz przez ssh?

#4 ftpd

ftpd

    Nie.


  • 24 357 postów
  • Płeć:
  • SkądPoznań

Napisano 03 lutego 2010 - 04:50

Oczywiście, że można skasować kawałek loga.

#5 Jenot

Jenot
  • 2 204 postów
  • SkądChełm

Napisano 03 lutego 2010 - 06:58

Ech..... najprościej - w terminalu wpisać "sudo last", albo "sudo last |grep console" (to drugie wyrzuci z listy otwarcia okna terminala).

#6 salvage

salvage
  • 9 postów

Napisano 03 lutego 2010 - 16:22

Komenda sudo wyrzucila mi jedynie logowania z ostatniego dnia i bez jakichkolwiek danych oprocz godziny. Ale tak jak kolega napisal jesli ktos wyczyscil logi to jest po temacie, chyba ze ktos z was chlopaki ma jakis jeszcze pomysl gdzie mogl zostac slad.

#7 Haseo

Haseo
  • 245 postów
  • Skądinąd

Napisano 03 lutego 2010 - 21:27

Ech..... najprościej - w terminalu wpisać "sudo last", albo "sudo last |grep console" (to drugie wyrzuci z listy otwarcia okna terminala).

To też da się*wykasować : >
@salvage
Ostatnie co mi przychodzi do głowy, to zawartość*pliku .bash_history w katalogu domowym użytkownika, ale tam też chyba zrobił "porządek". Sugeruję instalację od zera + zmianę haseł; nie muszę chyba podawać*powodów czemu.

#8 macieks72

macieks72

  • 9 873 postów

Napisano 04 lutego 2010 - 02:11

Jak chcesz być pewny że ktoś się do logów nie dobierze to wysyłaj je np. cronem na zdalny serwer. Albo chociażby mailem do siebie (też cron, żeby było automatycznie). Nie wiem czy to dobry pomysł, ale na taki właśnie wpadłem ;)

#9 Jenot

Jenot
  • 2 204 postów
  • SkądChełm

Napisano 04 lutego 2010 - 11:23

To też da się*wykasować : >
@salvage
Ostatnie co mi przychodzi do głowy, to zawartość*pliku .bash_history w katalogu domowym użytkownika, ale tam też chyba zrobił "porządek". Sugeruję instalację od zera + zmianę haseł; nie muszę chyba podawać*powodów czemu.


Ja nie mówię, że się nie da ;) Wszystko zależy jaką wiedzę miał atakujący. Nie wiem jak to jest na MacOS ale na linuksie polecenie last korzysta z pliku chyba wtmp. Ale generalnie wysyłanie logów na zewnętrzny serwer to dobry pomysł.

#10 thozo

thozo
  • 1 956 postów

Napisano 04 lutego 2010 - 11:29

Tak naprawdę to nie wiadomo czy ktoś atakował, żaden wpis na to nie wskazuje. Ale jakby co to pozamiatane bo ekipa MyApple stoi na straży. :D Lepiej dla tego kogoś, jakby co, by nie poszedł kontratak, bo może być ciężko... Pozdrawiam
Wróć do Mac OS X


Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych

  1. Forum MyApple.pl
  2. Komputery Mac - Software
  3. Systemy Operacyjne
  4. Systemy macOS
  5. Mac OS X
  6. Polityka prywatności
  7. Regulamin forum ·