Was bedeutet der Fehler „X ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet. “Philosophisch / logisch gemeint?

31

Neben der Frage " Benutzername ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet ", die die programmtechnischen Aspekte des Fehlers erläuterte und einige Problemumgehungen vorschlug, möchte ich wissen: Was bedeutet dieser Fehler?

X is not in the sudoers file.  This incident will be reported.

Der erste Teil des Fehlers erklärt klar den Fehler. Aber der zweite Teil besagt, dass "dieser Fehler gemeldet wird" ?! Aber wieso? Warum und wo wird der Fehler gemeldet? An wen? Ich bin sowohl Benutzer als auch Administrator und habe keinen Bericht erhalten :)!

Kasramvd
quelle
12
Philosophisch?!? Oder technisch?
Jeff Schaller
63
obligatorische xkcd
steeldriver
9
Ein (gutes) System protokolliert unbemerkt viele Dinge. Viele, viele Sachen. Vor allem Fehler. Vor allem, wenn man sie für böswillig hält. Ich denke, wenn Sie nach "philosophisch" fragen, fragt sich OP, warum dieser konkrete Fehler Sie so einschüchternd über die Meldung warnt, während die meisten anderen Fehler stillschweigend gemeldet werden. Es ist vielleicht genau das, was der ursprüngliche Codierer im Moment geschrieben hat, aber nach vielen Versionen wurde es nie geändert und es könnte eine tiefere Bedeutung geben. Oder vielleicht nicht. Wenn dies der Schwerpunkt ist, denke ich, dass dies eine großartige Frage ist, die ich mir einige Male gefragt habe.
xDaizu
4
Dies geht vermutlich darauf zurück, dass Sie ein ganzes Gebäude mit 1 Computer hatten und ein Administrator / Bediener den Computer als Vollzeitjob betreute.
user253751
1
Vor Jahren, als ich in der Universität war und noch nie sudowar, habe ich versucht, etwas als root auf meiner persönlichen Linux-Box zu machen. Also rannte ich su. Als mein Passwort abgelehnt wurde, versuchte ich es mehrmals und dachte, ich hätte mein Passwort falsch eingegeben. Schließlich stellte ich fest, dass dieses Terminal auf dem E-Mail-Server der Schule angemeldet war. Kurz darauf fragte mich der E-Mail-Server Sysadmin, warum ich versucht habe, auf seinem System root zu werden. Es gab also eindeutig eine Art Berichterstattung, obwohl dies in den sudoVortagen war.
Scott Severance

Antworten:

38

Die Administratoren eines Systems möchten wahrscheinlich wissen, wann ein nicht privilegierter Benutzer versucht, aber keine Befehle mit ausführt sudo. Wenn dies passiert, könnte dies ein Zeichen dafür sein

  1. ein neugieriger legitimer Benutzer, der nur Dinge ausprobiert, oder
  2. ein Hacker, der versucht, "schlechte Dinge" zu tun.

Da sudoan sich nicht zwischen diesen unterscheiden kann, schlagen Versuche zu verwenden fehlsudo den Admins zur Kenntnis gebracht.

Je nachdem, wie sudoauf Ihrem System konfiguriert ist, kann jeder Versuch (erfolgreich oder nicht) verwendet werdensudo protokolliert. Erfolgreiche Versuche werden zu Überwachungszwecken protokolliert (um verfolgen zu können, wer was wann getan hat) und fehlgeschlagene Sicherheitsversuche.

Auf einem ziemlich vanille Ubuntu-Setup, das ich habe, ist dies angemeldet /var/log/auth.log .

Wenn ein Benutzer dreimal das falsche Passwort eingibt oder wenn er nicht in der sudoersDatei enthalten ist, wird eine E - Mail an root gesendet (abhängig von der Konfiguration vonsudo , siehe unten). Dies ist gemeint mit "dieser Vorfall wird gemeldet".

Die E-Mail hat einen hervorgehobenen Betreff:

Subject: *** SECURITY information for thehostname ***

Der Nachrichtentext enthält beispielsweise die relevanten Zeilen aus der Protokolldatei

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Hier wird der Benutzer nobodyversucht , laufen lsdurch sudoals root, aber nicht , da sie nicht in der warensudoers Datei).

Es wird keine E-Mail gesendet, wenn auf dem System keine (lokale) E-Mail eingerichtet wurde.

All diese Dinge sind ebenfalls konfigurierbar, und die lokalen Abweichungen in der Standardkonfiguration können sich zwischen den Unix-Varianten unterscheiden.

Sehen Sie sich die mail_no_userEinstellung (und die zugehörigen mail_*Einstellungen) im sudoersHandbuch an (mein Schwerpunkt unten):

mail_no_user

Wenn diese Option aktiviert ist , wird eine E-Mail an den Benutzer mailto gesendet , wenn der aufrufende Benutzer nicht in der sudoersDatei enthalten ist. Dieses Flag ist standardmäßig aktiviert .

Kusalananda
quelle
Oder öfter ime 3) jemand, der du falsch schreibt. Bei einem Arbeitgeber, bei dem ich dies tat, erhielt ich regelmäßig die E-Mail mit einer Empfängerliste, der Angabe des Bürostandorts und des Inhalts der Warn-E-Mail als Abwesenheitsnachricht zurückgesandt. Ich bin einmal in ihr Büro gegangen, um mich zu entschuldigen und habe sie alle ein bisschen erschreckt, denke ich. Vielleicht war es so, dass ich, obwohl ich ein seriöser Kerl bin, der sich mit alltäglichen Aktivitäten beschäftigt, manchmal in einem schwarzen Kapuzenpulli durch die Gegend gehe und ein paar DMs wie die auf den Stock-Fotos gezeigten, wie @Kusalananda bestätigen kann.
Dannie
15

In Debian und seinen Derivaten werden die sudoEreignisberichte protokolliert, /var/log/auth.logdie Systemautorisierungsinformationen enthalten, einschließlich der verwendeten Benutzeranmeldungen und Authentifizierungsmechanismen:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Auf diese Protokolldatei können normalerweise nur Benutzer in der admGruppe zugreifen, dh Benutzer mit Zugriff auf Systemüberwachungsaufgaben :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Aus dem Debian-Wiki :

Die Gruppe adm wird für Systemüberwachungsaufgaben verwendet. Mitglieder dieser Gruppe können viele Protokolldateien in / var / log lesen und xconsole verwenden. Historisch gesehen war / var / log / usr / adm (und später / var / adm), daher der Name der Gruppe.

Benutzer in der admGruppe sind normalerweise Administratoren . Mit dieser Gruppenberechtigung können sie Protokolldateien lesen, ohne dass dies erforderlich ist su.

Standardmäßig sudowird die Syslog-Funktion authfür die Protokollierung verwendet . sudo‚s Logging - Verhalten kann das geändert werden mit logfileoder syslogOptionen in /etc/sudoersoder /etc/sudoers.d:

  • Die logfileOption legt den Pfad zu festsudo Protokolldatei fest.
  • Mit dieser syslogOption wird die Syslog-Funktion festgelegt, wenn syslog(3)sie für die Protokollierung verwendet wird.

Die Syslog-Funktion authwird durch die folgende Konfigurationszeilengruppe auf " /var/log/auth.login" umgeleitet etc/syslog.conf:

auth,authpriv.*         /var/log/auth.log
Thomas Nyman
quelle
7

Technisch bedeutet es nicht viel. Viele (wenn nicht alle) Anmeldungen anderer Softwareprotokolle sind fehlgeschlagen oder auf andere Weise. Zum Beispiel sshdund su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Außerdem verfügen viele Systeme über eine Art Automatisierung, um übermäßige Authentifizierungsfehler zu erkennen, um mögliche Brute-Force-Versuche zu bewältigen, oder verwenden Sie die Informationen einfach, um Ereignisse nach Auftreten von Problemen zu rekonstruieren.

sudomacht hier nichts besonders außergewöhnliches. Die Meldung bedeutet lediglich, dass der Autor von sudoeine etwas aggressive Philosophie bei der Kommunikation mit Benutzern verfolgt hat, die Befehle ausführen, die er nicht verwenden kann.

ilkkachu
quelle
6

Es bedeutet einfach, dass jemand versucht hat, den sudoBefehl zu verwenden (um auf Administratorrechte zuzugreifen), der keine Berechtigung hat, ihn zu verwenden (weil er nicht in der sudoers-Datei aufgeführt ist). Dies kann ein Hacking-Versuch oder ein anderes Sicherheitsrisiko sein. Die Meldung besagt, dass die versuchte Verwendung sudoan den Systemadministrator gemeldet wird, damit dieser nachforschen kann.

Time4Tea
quelle
1
Nun, auf meinem lokalen Computer bin ich der einzige Benutzer und Administrator, und ich kann Ihnen sagen, dass ich keinen Bericht erhalten habe!
Kasramvd
4
@Kasramvd hast du wohl in irgendeiner Datei irgendwo gemacht. Ich bin mir nicht ganz sicher, wohin sudoder Bericht gesendet wird. In Ihrer Situation ist es mit nur einem Benutzer wahrscheinlich nicht sehr wichtig.
Time4Tea
2
@Kasramvd Hast du nach einer E-Mail an den Root-Benutzer gesucht? Sie sind Administrator, haben aber kein sudo für Ihr Konto? Wie gehen Sie mit der Eskalation von Berechtigungen um?
doneal24
@ Kasramvd Es wurde Ihnen nicht gemeldet ....
Thorbjørn Ravn Andersen
1
@Kasramvd Sie DENKEN, Sie sind der Administrator. Das Betriebssystem weist Sie eindeutig darauf hin, dass Sie nicht die Berechtigung haben, als Administrator zu fungieren - Sie sind bestenfalls der Besitzer der Hardware, aber das macht Sie nicht unbedingt zum Administrator
slebetman