Наряду с этим вопрос « Имя пользователя отсутствует в файле sudoers. Об этом инциденте будет сообщено », в котором объясняются программные аспекты ошибки и предлагаются некоторые обходные пути, я хочу знать: что означает эта ошибка?
X is not in the sudoers file. This incident will be reported.
Первая часть ошибки ясно объясняет ошибку. Но вторая часть говорит, что «Эта ошибка будет сообщено» ?! Но почему? Почему будет сообщено об ошибке и где? Кому? Я и пользователь и администратор и не получил никакого отчета :)!
sudo
user-interface
Kasramvd
источник
источник
sudo
этого, я пытался сделать что-то в качестве root на своей персональной Linux-системе. Итак, я побежалsu
. Когда он отклонил мой пароль, я повторил попытку несколько раз, думая, что неправильно набрал свой пароль. В конце концов я понял, что этот терминал был зарегистрирован на почтовом сервере школы. Вскоре после этого почтовый сервер сисадмин спросил меня, почему я пытался получить root в его системе. Таким образом, было явно какое-то сообщение, хотя это было в предыдущиеsudo
дни.Ответы:
Администратор (-ы) системы, вероятно, захотят узнать, когда непривилегированный пользователь пытается, но не может выполнить команды, используя
sudo
. Если это произойдет, это может быть признакомПоскольку
sudo
само по себе не может различить эти, неудачные попытки использованияsudo
доводятся до сведения администраторов.В зависимости от того, как
sudo
настроено в вашей системе, любая попытка (успешная или нет)sudo
будет зарегистрирована. Успешные попытки регистрируются в целях аудита (чтобы иметь возможность отслеживать, кто что сделал, когда) и неудачные попытки обеспечения безопасности.На довольно ванильной установке Ubuntu, которая у меня есть, это вошло в систему
/var/log/auth.log
.Если пользователь вводит неправильный пароль три раза или его нет в
sudoers
файле, электронное письмо отправляется пользователю root (в зависимости от конфигурацииsudo
, см. Ниже). Это то, что подразумевается под «об этом инциденте будет сообщено».Письмо будет иметь заметную тему:
Тело сообщения содержит соответствующие строки из файла журнала, например
(Здесь пользователь
nobody
попытался запуститьls
сsudo
правами root, но не смог, поскольку их не было вsudoers
файле).Электронная почта не отправляется, если (локальная) почта не была настроена в системе.
Все эти вещи также настраиваются, и что локальные вариации в конфигурации по умолчанию могут отличаться в разных вариантах Unix.
Посмотрите на
mail_no_user
настройки (и связанныеmail_*
настройки) вsudoers
руководстве (мой акцент ниже):источник
В Debian и его производных
sudo
регистрируются отчеты об инцидентах, в/var/log/auth.log
которых содержится информация об авторизации системы, включая имена пользователей и используемые механизмы аутентификации:Этот файл журнала обычно доступен только пользователям в
adm
группе, то есть пользователям, имеющим доступ к задачам мониторинга системы :Из вики Debian :
Пользователи в
adm
группе обычно являются администраторами , и это разрешение группы предназначено, чтобы позволить им читать файлы журнала без необходимостиsu
.По умолчанию
sudo
используетсяauth
средство Syslog для ведения журнала .sudo
поведение протоколирования «S может быть изменено с помощьюlogfile
илиsyslog
вариантов в/etc/sudoers
или/etc/sudoers.d
:logfile
Параметр задает путь кsudo
файлу журнала.syslog
Опция устанавливает объект Syslog , когдаsyslog(3)
используются для регистрации.Syslog
auth
объект перенаправляются/var/log/auth.log
вetc/syslog.conf
наличии следующей строфы конфигурации:источник
Технически это ничего не значит. Многие (если не все) другие журналы регистрации программного обеспечения, не удалось или иным образом. Например
sshd
иsu
:Кроме того, многие системы имеют своего рода автоматизацию для обнаружения чрезмерных ошибок аутентификации, чтобы иметь возможность обрабатывать возможные попытки перебора или просто использовать эту информацию для восстановления событий после возникновения проблем.
sudo
ничего особенного здесь не делает. Все сообщение означает, что автор,sudo
похоже, придерживается несколько агрессивной философии в общении с пользователями, которые случайно запускают команды, которые они не могут использовать.источник
Это просто означает, что кто-то пытался использовать
sudo
команду (для доступа к привилегиям администратора), у которого нет полномочий на ее использование (потому что они не перечислены в файле sudoers). Это может быть попытка взлома или какой-либо другой вид угрозы безопасности, поэтому в сообщении говорится, что о попытке использованияsudo
будет сообщено системному администратору, чтобы они могли провести расследование.источник
sudo
отправляет отчет. В вашей ситуации только с одним пользователем это, вероятно, не очень важно.