Wo wird der Vorfall mit dem Befehl sudo gemeldet?

22

Wenn ein Nicht-Administrator einen sudo-Befehl in Terminal eingibt, wird dieser angezeigt, nachdem er sein Kennwort eingegeben hat:

User is not in the sudoers file. This incident will be reported.

Wo wird das gemeldet?

Bitte lösche mich
quelle
14
Obligatorische xkcd-Referenz: xkcd.com/838
Javier
Es ärgert mich immer sehr, dass sudo so mürrisch auf fast immer vollkommen unschuldige Fehler reagiert.
Reid
3
/ var / spool / mail / <BENUTZERNAME> source: stackoverflow.com/questions/13546933/…
zur Polizei! hahahaha ;-)
Michael

Antworten:

24

Das Ereignis wird angemeldet /var/log/secure.logund eine E-Mail wird an root gesendet (was standardmäßig an /dev/nullUnix geht, da es verworfen wird).

nohillside
quelle
+1 Das Senden der E-Mail sollte nicht fehlschlagen, wird aber wahrscheinlich nicht gelesen. Es ist möglich, dass es an einen anderen Benutzer gesendet wird, aber die Wahrscheinlichkeit, dass diese Änderung vorgenommen wird, entspricht in etwa der Wahrscheinlichkeit, dass jemand die Mail von root liest.
ughoavgfhw
Ich habe mir in der Zwischenzeit die Logdatei angesehen, mail to root geht an / dev / null.
Nohillside
3

In älteren Versionen von OS X (bis 10.6 oder möglicherweise 10.7) wurde der nicht zugelassene Sudo-Versuch angemeldet /var/log/secure.log. In neueren Versionen wird es in der ASL-Datenbank (Apple System Log) gespeichert /var/log/asl/*. Sie können dies mit dem Console.appDienstprogramm lesen (wählen Sie ALL MESSAGESin der Seitenleiste aus, und wenn Sie sie nicht finden können, verwenden Sie das Suchfeld oben rechts, um nach ihnen zu suchen sudo). Sie können auch den Befehlszeilenbefehl verwenden syslog, um die Datenbank abzufragen ( syslog -k Facility authpriv -k Sender sudosollte dies tun). Beachten Sie, dass mit Console.app oder syslogdie Einträge nur sichtbar sind, wenn Sie als Administrator oder Root ausgeführt werden.

Quelle

Braiam
quelle
"Beachten Sie, dass die Einträge in Console.app oder Syslog nur sichtbar sind, wenn Sie als Administrator oder als Root angemeldet sind." @Braiam heißt das, ich könnte den obigen Befehl ausführen, sudowenn ich in der sudoers-Datei bin? Wie:sudo syslog -k Facility authpriv -k Sender sudo
Alex Ixeras
@ AlexIxeras gut, sudo macht Sie effektiv root.
Braiam
-1

Für Debain wird es in /var/log/auth.log abgelegt

GreenReaper
quelle
5
Obwohl technisch (wahrscheinlich) korrekt, konzentriert sich diese Seite auf OSX und iOS :-)
nohillside
2
@ Matrix Vielleicht ist es ein Debain GNU / OS X ;-)
Michael
@ Michael Ich habe Debian auf meinem Mac Mini PPC! ;)
leetNightshade
-1

Es wird per E-Mail an ihre Apple-ID gesendet, die ich gefunden habe

danke
quelle
1
Wer ist AppleID? Es können viele AppleIDs mit vielen Benutzern auf einem OS X-Computer verknüpft sein.
Ian C.