Komu naprawdę zgłoszono incydenty i jak użytkownik sudo może uzyskać dostęp do raportów?

Kiedy moje konto inne niż sudo próbuje uruchomić polecenie sudo:

nonsudo@Hairy14:$ sudo hello

Zgłoszony incydent:

[sudo] password for nonsudo: 
nonsudo is not in the sudoers file.  This incident will be reported.

Zgaduję, że tak naprawdę nie jest to Boże Narodzenie, więc do kogo to się zgłosiło (i gdzie) i jak mogę uzyskać do niego dostęp?

(Z xkcd , Randall Munroe)

Tytuł obrazu może dać nam wskazówkę:

Widzi cię, kiedy śpisz, wie, kiedy nie śpisz, jest kopiowany /var/spool/mail/root, więc bądź dobry na litość boską.

Co /var/spool/mail/rootzawiera Uhh, dla mnie nic jak zwykły użytkownik:

cat: /var/spool/mail/root: No such file or directory

I to samo z sudo. Dla mnie nie ma/var/spool/mail/root

Okazuje się, że Ubuntu jest inny - domyślnie poczta roota trafia do /dev/nullczarnej dziury w twoim komputerze.

Aby znaleźć nasze dzienniki, musimy zajrzeć do środka

/var/log/auth.log

I oto oto a sudo catdaje nam następującą linię:

Jun 25 22:45:07 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Pamiętaj, że czasami (np. Jeśli twoje konto nie ma hasła, jest wyłączone) po prostu nie pozwoli ci uruchomić polecenia - ale nadal będzie zgłaszane w ten sam sposób:

Jun 25 22:44:17 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Pamiętaj, że istnieje wiele innych tekstów wraz z „niegrzecznymi” raportami. Może być konieczne grep.

Moje zaimki to On / On