如何检查是否有人访问了我的电脑?
我需要检查在我的计算机中访问的文件列表(例如:昨天特定时间)。 可能吗?
要么
我需要检查是否有人访问过我的计算机(当我将其解锁时)或者在特定时间内没有访问过我的计算机。
我假设您认为您的计算机没有被完全泄露(要查看谁一直在运行sudo命令,请参阅/var/log/auth.log
)。 可以在主文件夹中快速查找非用户拥有的文件,也可以使用find
命令在任何时间访问任何文件(对于文件使用-type f
,对目录使用-type d
)。 对于以下示例,我假设您从主文件夹的顶层运行(只需输入cd
即可),并且您不想搜索根目录中的文件。
1)要查找主文件夹中未登录用户拥有的所有文件,请键入:
find ~ -type f ! -user $USER
1.1)要查找不属于任何合法用户的所有文件(它们不应存在),请键入:
find ~ -type f -nouser
2)由于系统上的文件有三个时间戳称为mtime
(文件修改时间), ctime
(inode更改时间和权限)和atime
(文件访问时间),因此可以查询这些时间戳以了解文件的修改方式。 通常会讨论哪些是最好用的,但是找出文件被访问或修改的最佳方法是使用find
命令搜索几天前指定的atime
和mtime
,以及其他find
选项mmin
和mmin
,您可以在几分钟前指定。
对于这些命令中的每一个,都使用相同的命令开关:例如, -atime 1
将匹配那些在1天前正好访问的文件; 指定多于或少于 ,分别附加+
或-
。 下面的示例可以澄清所有这些(指定目录的-type d
):
find ~ -type f -atime 1 find ~ -type f -amin -23 find ~ -type f -mtime 2 find ~ -type f -mmin -45
3)要结合我的方法到目前为止,您可以从您的主文件夹输入以下命令:
- 搜索您的主目录中不属于$ USER的文件以及不到两天前最后一次访问的文件。
find ~ -type f -atime -2 ! -user $USER
- 搜索您的主目录中不属于$ USER的文件以及不到两天前最后修改过的文件。
find ~ -type f -mtime -2 ! -user $USER
如果您的计算机已被锁定,那么您可以检查auth日志,该日志记录每个登录和解锁事件的日期和时间。
没有直接的方法可以知道某人是否正在访问未锁定的计算机,而没有安装特殊程序来跟踪活动。 但间接信息可用于推断访问。
例如,浏览器历史记录通常会告诉您访问网站的时间。 gnome最近访问过的文件也会显示打开的文件。 您可以通过转到Unity的Dash菜单并单击展开最近使用的文件部分来实现此目的:
如果您需要更明确的列表(包括非gnome程序访问的文件),那么我们需要编写一个简短的脚本来检测所有具有访问时间的文件或在可疑范围之间写入时间。 也许有人已经写过这个,但我从来没有听说过。