Где сообщается об инцидентах с sudo? [закрыто]

130

Попытка чего-то коварного на моей машине приводит к

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

Где сообщается об этом инциденте и как мне получить журнал всех неприятных попыток выполнения команд?

user1717828
источник

Ответы:

191

Неважно, я только что нашел ответ в альтернативном тексте на xkcd :

xkcd838

В rootмоем случае замените свое имя пользователя, ryanчтобы журнал был найден с:

cat /var/spool/mail/ryan
user1717828
источник
6
Разве этого не должно быть, rootесли нет какой-то пересылки? Все дело в том, что письмо отправляется администратору. Кроме того, конечно, после установки некоторой пересылки вы можете переадресовывать файл спула, но вы также можете использовать какой-нибудь почтовый клиент, например mail, nail или что-то еще, которое поддерживает чтение из локальной спула (я бы сказал, что обычно это случай, за исключением, может быть, клиентов с графическим интерфейсом, «импортированных» из мира Windows).
njsg 06
13
В /var/spool/mailдистрибутивах, использующих systemd (Archlinux в моем случае) , ничего нет . В этом случае вы можете найти этот отчет в журнале с помощью journalctlкоманды. (@shellter - из-за закрытой темы - не согласен - мне пришлось
оставить
1
@dmnc Я могу это подтвердить, journalctlкоманда для этого есть sudo journalctl /bin/sudo.
simonzack
16
Я знаю, что это помечено как «debian», но я искал Ubuntu. Итак, для пользы других, ищущих выходной журнал Ubuntu, я обнаружил сбои sudo в:/var/log/auth.log
CJBS
Точнее, чтобы увидеть только сбои sudo при использовании Ubuntu cat /var/log/auth.log | grep sudoers.
akshayk07 05
34

Отчет отправляется пользователю по электронной почте root. Многие дистрибутивы Linux автоматически устанавливают псевдоним для этого пользователя, направляя почту на первую учетную запись, созданную в процессе установки.

qqx
источник