Wo werden Sudo-Vorfälle gemeldet? [geschlossen]

130

Der Versuch, auf meinem Computer etwas Falsches zu versuchen, führt dazu

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

Wo wird dieser Vorfall gemeldet und wie erhalte ich das Protokoll aller bösen versuchten Befehle?

user1717828
quelle

Antworten:

191

Egal, ich habe gerade die Antwort im Alt-Text bei xkcd gefunden :

xkcd838

Ersetzen rootSie in meinem Fall durch Ihren Benutzernamen, ryandamit das Protokoll gefunden wird mit:

cat /var/spool/mail/ryan
user1717828
quelle
6
Sollte es rootnicht sein, es sei denn, es gibt ein Weiterleitungsset? Der springende Punkt sollte sein, dass die E-Mail an den Administrator gesendet wird. Sobald eine Weiterleitung festgelegt ist, können Sie die Spooldatei katzen, aber Sie können auch einen Mail-Client wie Mail, Nagel oder etwas anderes verwenden, das das Lesen von der lokalen Spool unterstützt (ich würde sagen, dass dies normalerweise der Fall ist der Fall, außer vielleicht für GUI-Clients, die aus der Windows-Welt "importiert" wurden).
NJSG
13
/var/spool/mailIn Distributionen, die systemd verwenden (in meinem Fall Archlinux), ist nichts enthalten . In diesem Fall können Sie diesen Bericht mit dem journalctlBefehl im Journal finden . (@shellter - wegen geschlossenem Thema - nicht einverstanden - Ich musste einen Kommentar posten, keine andere gültige Antwort)
dmnc
1
@dmnc Ich kann das bestätigen, der journalctlBefehl dafür ist sudo journalctl /bin/sudo.
Simonzack
16
Ich weiß, dass dies mit 'debian' markiert ist, aber ich habe nach Ubuntu gesucht. Zum Nutzen anderer, die nach Ubuntus Ausgabeprotokoll suchten, fand ich /var/log/auth.log
Sudo-
Genauer gesagt, um nur Sudo-Fehler in Ubuntu zu sehen cat /var/log/auth.log | grep sudoers.
Akshayk07
34

Der Bericht wird als E-Mail an den rootBenutzer gesendet . Viele Linux-Distributionen richten automatisch einen Alias ​​für diesen Benutzer ein und leiten die E-Mails an das erste Konto weiter, das während des Installationsvorgangs erstellt wurde.

qqx
quelle