电脑又被人通过 screen sharing 远程登陆了。。。真是醉了。。。

@ihwbunny 感谢哈。last 出来的都是我自己的登陆记录，昨晚的这个看不到：
(base) iMac:~ friend$ sudo last
Password:
friend ttys000 Mon Jun 7 16:42 still logged in
friend console Mon Jun 7 16:35 still logged in
reboot ~ Mon Jun 7 16:35
shutdown ~ Mon Jun 7 16:25
root console Mon Jun 7 16:25 - shutdown (00:00)
friend ttys000 Sat Jun 5 13:50 - 13:50 (00:00)
friend console Sat Jun 5 13:50 - 16:25 (2+02:35)
reboot ~ Sat Jun 5 13:50
shutdown ~ Sat Jun 5 13:49
friend ttys001 Sat Jun 5 13:42 - 13:42 (00:00)
friend ttys000 Tue May 25 14:02 - 14:02 (00:00)
friend console Thu May 13 13:10 - 13:49 (23+00:39)
reboot ~ Thu May 13 13:10
shutdown ~ Thu May 13 13:09
friend console Tue May 11 21:53 - 13:09 (1+15:16)
reboot ~ Tue May 11 21:53
shutdown ~ Tue May 11 21:53

dscl . list /Users 也没有它的这 administratorj 账号
(base) iMac:~ friend$ dscl . list /Users
_amavisd
_analyticsd
_appinstalld
_appleevents
_applepay
_appowner
_appserver
_appstore
_ard
_assetcache
_astris
_atsserver
_avbdeviced
_BGMXPCHelper
_calendar
_captiveagent
_ces
_clamav
_cmiodalassistants
_coreaudiod
_coremediaiod
_coreml
_ctkd
_cvmsroot
_cvs
_cyrus
_datadetectors
_demod
_devdocs
_devicemgr
_diskimagesiod
_displaypolicyd
_distnote
_dovecot
_dovenull
_dpaudio
_driverkit
_eppc
_findmydevice
_fpsd
_ftp
_fud
_gamecontrollerd
_geod
_hidd
_iconservices
_installassistant
_installcoordinationd
_installer
_jabber
_kadmin_admin
_kadmin_changepw
_knowledgegraphd
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbfast
_krbtgt
_launchservicesd
_lda
_locationd
_logd
_lp
_mailman
_mbsetupuser
_mcxalr
_mdnsresponder
_mobileasset
_mysql
_nearbyd
_netbios
_netstatistics
_networkd
_nsurlsessiond
_nsurlstoraged
_oahd
_ondemand
_postfix
_postgres
_qtss
_reportmemoryexception
_rmd
_sandbox
_screensaver
_scsd
_securityagent
_serialnumberd
_softwareupdate
_spotlight
_sshd
_svn
_taskgated
_teamsserver
_timed
_timezone
_tokend
_trustd
_trustevaluationagent
_unknown
_update_sharing
_usbmuxd
_uucp
_warmd
_webauthserver
_windowserver
_www
_wwwproxy
_xcsbuildagent
_xserverdocs
daemon
friend
nobody
root
wei

(base) iMac:~ friend$ ls -la /var/db/dslocal/nodes 的结果是这样的：

total 0
drwxr-xr-x 3 root wheel 96 Jan 1 2020 .
drwxr-xr-x 3 root wheel 96 Jan 1 2020 ..
drw------- 13 root wheel 416 Jun 7 16:35 Default
上次也尝试了一些方法包括找系统 log，但也是找不到

@boywang004 肯定设置了啊。。。上个帖子有人指点是人家自己建了个账户并把这个账户加入可远程登陆的组里了
[]( https://imgtu.com/i/2HRJ6U)

@yihy8023 谢谢回复哈，是个好方法，我研究下哈。实际使用的感受上跟直接映射的端口相比会有差异吗？

@yanzhiling2001
@flexbug 谢谢哈，我注册一个试试。

@deadtomb
> 没有其他如 nas 设备可以搭建 VPN 服务
可以用你的 Mac 做 VPN Server，也可以用 Tailscale 等 Mesh VPN 服务。

就现在的网络环境你这就是给自己找不愉快

@deadtomb 网络不稳定的话，过一会可能会断开，需要再次执行 ssh 命令。

ZeroTier 不香吗？

哇.... 好奇这整个的来龙去脉.... 希望楼主有时间可以写个文章啥的介绍一下哈哈

你就不能用防火墙只允许你指定的 IP 吗

@deadtomb 所以问题是，如果只开 Screen Sharing，但是不开 Remote Management 是不是就是相对安全的？

期待楼主调查清楚后，可以开个新帖完整介绍下……已经两贴了，听着略吓人。毕竟开 Screen Sharing 还是挺常见的需求（比如我就常年开着）。

不过总感觉可能还是有马？

@Elethom VNC 能套一层加密吗

我一直没搞懂 Mac 的 VNC 有鉴权吗

@swulling 谢谢哈，在自己的 mac 上搭 vpn server 这台电脑就要 24 小时开机了吧？因为这台电脑在卧室，考虑到散热、耗电、噪音等因素目前没有 24 小时开机条件啊。。。直接端口映射的远程登陆可以远程唤醒它的所以不用一直开机。

@mreasonyang 搭 VLAN 需要这台 mac 一直保持开机吧？因为这台电脑在卧室，考虑到散热、耗电、噪音等因素目前没有 24 小时开机条件啊。。。直接端口映射的远程登陆可以远程唤醒它的所以不用一直开机。

@iawes 因为我希望在任何地方都能登陆所以我希望是用黑名单模式而不是白名单模式，这也就是为什么我在上个帖子中一直想找到它的登陆记录从而找到它的 IP 段并加入黑名单，但无果因为所有的记录和 log 都找不到它的这条登录记录。

@Leee 就是这两个帖子里的内容啊。。。说实话第一次时确实吓了一大跳，电脑被人控制还跟我抢鼠标。。。。。

@boywang004 我觉得是差不多的吧，screen sharing 不是也能控制吗，我的理解是 remote management 是 screen sharing 的高级版？目前以我微薄的技术知识以及回帖中大家给的方法仍然没有查到任何线索，我甚至都查不到他的 IP 。。。。我也经常怀疑电脑有马但我没有证据。。。。被我看到是两次，说不定其实有更多次呢，对吧，这两次只是刚好我在卧室看到了而已，是不是细思极恐。。。。。

@deadtomb 对于 ZeroTier 这种架构来说不需要，当然更好的方案是你能在路由器建连，那可以把内网所有设备都 NAT 出去，用起来更方便

@deadtomb
你的系统用户列表比我的多了，我的是 BigSur 11.3：
_BGMXPCHelper
_serialnumberd
_xcsbuildagent

你建了两个账户？ friend 和 wei ？

你使用过 ssh 或者每次登陆都用 terminal 吗？ 这些的登录都很短时间，

你在屏幕看到的名称不是用户名，而是账户全名