9 votos

Lista de intentos de inicio de sesión fallidos en Mavericks

Quiero ver si alguien ha intentado iniciar sesión en mi ordenador, que ejecuta Mavericks. Estoy principalmente interesado en el seguimiento de los intentos de inicio de sesión ssh, así como el seguimiento de las personas que físicamente escribir las contraseñas en mi teclado para tratar de iniciar sesión.

Relacionado

He visto ¿Cómo iniciar y cerrar la sesión en Mavericks? pero last parece que sólo muestra los inicios de sesión exitosos, o al menos muestra la mayoría de los inicios de sesión exitosos.

También he visto una respuesta sobre buscar en system.log o en "todos los mensajes", usando la utilidad de la consola, pero esos archivos/mensajes parecen muy desordenados.

Preguntas y respuestas relacionadas con versiones anteriores de OSX

0 votos

¿Busca hacer un seguimiento del inicio de sesión de ssh, del inicio de sesión de la consola local, del inicio de sesión de la pantalla compartida, de la apertura del terminal? ¿Qué significa "log in" y está buscando cualquier solución o sólo una que se pueda programar desde un shell?

0 votos

@bmike No sé lo que es un registro de pantalla compartida. Me interesan las dos primeras opciones, shh y consola local. Hace un tiempo me hackearon la cuenta de un servidor de unos amigos, ya que las credenciales que nos inventamos eran tontas y habíamos habilitado el ssh. Afortunadamente no hubo daños. Me preguntaba si esos ataques se podían encontrar en un log, pero también me interesa que la gente escriba físicamente las contraseñas en mi teclado para intentar entrar.

0 votos

Excelente precisión en la pregunta. He estado queriendo preguntar cómo configurar un disparador ssh para evitar repetidos intentos de inicio de sesión. Las respuestas aquí podrían darme algunas ideas sobre cómo implementar ese tipo de protección automatizada.

7voto

siva Puntos 23

Puede utilizar este comando de Terminal:

cat /private/var/log/system.log | grep "Failed to authenticate"

Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).

0 votos

+1. Desgraciadamente, system.log sólo contiene entradas desde el 11 de febrero.

3 votos

Algo así como zgrep "whatever" /path/to/system.log* con un poco de procesamiento comprobaría todos los registros comprimidos que quedan en el sistema. Me pregunto si hay una forma de llamar al registrador del sistema de Apple para obtener una vista más plana del contenido de varios archivos de registro.

0 votos

Todo en Yosemite: BAD SU y incorrect password son palabras clave para buscar los intentos fallidos de autenticación por su y sudo respectivamente. Ssh genera authentication error for en este mismo archivo de registro. No he podido generar un mensaje que contenga Failed to authenticate .

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X