Obok pytania „ Nazwa użytkownika nie ma w pliku sudoers. Ten incydent zostanie zgłoszony ”, który wyjaśnił programowe aspekty błędu i zasugerował pewne obejścia, chcę wiedzieć: co oznacza ten błąd?
X is not in the sudoers file. This incident will be reported.
Poprzednia część błędu jasno wyjaśnia błąd. Ale druga część mówi, że „ten błąd zostanie zgłoszony” ?! Ale dlaczego? Dlaczego błąd zostanie zgłoszony i gdzie? Do kogo? Jestem zarówno użytkownikiem, jak i administratorem i nie otrzymałem żadnego raportu :)!
sudo
user-interface
Kasramvd
źródło
źródło
sudo
było czymś, co chciałem zrobić jako root na moim osobistym Linux-ie. Więc pobiegłemsu
. Kiedy odrzuciło moje hasło, kilkakrotnie próbowałem pomyśleć, że źle wpisałem swoje hasło. W końcu zdałem sobie sprawę, że ten terminal został zalogowany na szkolnym serwerze e-mail. Niedługo potem sysadmin serwera e-mail zapytał mnie, dlaczego próbowałem uzyskać root w jego systemie. Tak więc najwyraźniej istniało jakieś zgłoszenie, mimo że było to wsudo
dniach poprzedzających .Odpowiedzi:
Administrator systemu może chcieć wiedzieć, kiedy nieuprzywilejowany użytkownik próbuje, ale nie wykonuje poleceń za pomocą
sudo
. Jeśli tak się stanie, może to oznaczaćPonieważ
sudo
samo w sobie nie jest w stanie ich rozróżnić,sudo
administratorzy zwracają uwagę na nieudane próby użycia .W zależności od
sudo
konfiguracji w systemie każda próba (pomyślna lub nie) użyciasudo
zostanie zarejestrowana. Pomyślne próby są rejestrowane do celów kontrolnych (aby móc śledzić, kto co zrobił, kiedy) i nieudane próby bezpieczeństwa.W dość waniliowej konfiguracji Ubuntu, którą mam, jest to zalogowane
/var/log/auth.log
.Jeśli użytkownik trzy razy poda nieprawidłowe hasło lub nie ma go w
sudoers
pliku, wiadomość e-mail zostanie wysłana do katalogu głównego (w zależności od konfiguracjisudo
, patrz poniżej). To właśnie oznacza „ten incydent zostanie zgłoszony”.Wiadomość e-mail będzie miała ważny temat:
Treść wiadomości zawiera na przykład odpowiednie wiersze z pliku dziennika
(Tutaj użytkownik
nobody
próbował uruchomićls
poprzezsudo
jako root, ale nie powiodło się, ponieważ nie były one wsudoers
pliku).Wiadomość e-mail nie jest wysyłana, jeśli (lokalna) poczta nie została skonfigurowana w systemie.
Wszystkie te rzeczy są również konfigurowalne, a lokalne odmiany w domyślnej konfiguracji mogą się różnić między wariantami Uniksa.
Spójrz na
mail_no_user
ustawienie (i powiązanemail_*
ustawienia) wsudoers
instrukcji (moje podkreślenie poniżej):źródło
W Debianie i jego pochodnych
sudo
rejestrowane są raporty o incydentach,/var/log/auth.log
które zawierają informacje o autoryzacji systemu, w tym dane logowania użytkownika i mechanizmy uwierzytelniania, które zostały użyte:Ten plik dziennika jest zazwyczaj dostępny tylko dla użytkowników w
adm
grupie, tj. Użytkowników mających dostęp do zadań monitorowania systemu :Z Debian Wiki :
Użytkownicy w
adm
grupie są zwykle administratorami , a to uprawnienie grupy ma na celu umożliwienie im odczytu plików dziennika bez koniecznościsu
.Domyślnie do logowania
sudo
używa narzędzia Syslogauth
.sudo
„s zachowanie rejestrowania można modyfikować przy użyciulogfile
lubsyslog
opcje w/etc/sudoers
lub/etc/sudoers.d
:logfile
opcja ustawia ścieżkę dosudo
pliku dziennika.syslog
opcja ustawia funkcję Syslog, gdysyslog(3)
jest używana do rejestrowania.Syslog'a
auth
obiekt jest przekierowywany/var/log/auth.log
naetc/syslog.conf
obecność następującej konfiguracji pokoju:źródło
Technicznie nic to nie znaczy. Wiele (jeśli nie wszystkie) inne oprogramowanie loguje się, nie powiodło się lub w inny sposób. Na przykład
sshd
isu
:Ponadto wiele systemów ma pewną automatyzację w wykrywaniu nadmiernych błędów uwierzytelniania, aby móc poradzić sobie z możliwymi próbami użycia siły lub po prostu użyć tych informacji do odtworzenia zdarzeń po pojawieniu się problemów.
sudo
nie robi tu nic szczególnie wyjątkowego. Wszystko wskazuje na to, że autorsudo
najwyraźniej przyjął nieco agresywną filozofię komunikowania się z użytkownikami, którzy akurat wykonują polecenia, których nie mogą użyć.źródło
Oznacza to po prostu, że ktoś próbował użyć
sudo
polecenia (aby uzyskać dostęp do uprawnień administratora), który nie ma uprawnień do korzystania z niego (ponieważ nie ma ich w pliku sudoers). Może to być próba włamania lub inne ryzyko związane z bezpieczeństwem, więc komunikat mówi, że próba użyciasudo
zostanie zgłoszona administratorowi systemu, aby mógł to zbadać.źródło
sudo
wysyła raport. W Twojej sytuacji, gdy jest tylko jeden użytkownik, prawdopodobnie nie jest to bardzo ważne.