Neben der Frage " Benutzername ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet ", die die programmtechnischen Aspekte des Fehlers erläuterte und einige Problemumgehungen vorschlug, möchte ich wissen: Was bedeutet dieser Fehler?
X is not in the sudoers file. This incident will be reported.
Der erste Teil des Fehlers erklärt klar den Fehler. Aber der zweite Teil besagt, dass "dieser Fehler gemeldet wird" ?! Aber wieso? Warum und wo wird der Fehler gemeldet? An wen? Ich bin sowohl Benutzer als auch Administrator und habe keinen Bericht erhalten :)!
sudo
user-interface
Kasramvd
quelle
quelle
sudo
war, habe ich versucht, etwas als root auf meiner persönlichen Linux-Box zu machen. Also rannte ichsu
. Als mein Passwort abgelehnt wurde, versuchte ich es mehrmals und dachte, ich hätte mein Passwort falsch eingegeben. Schließlich stellte ich fest, dass dieses Terminal auf dem E-Mail-Server der Schule angemeldet war. Kurz darauf fragte mich der E-Mail-Server Sysadmin, warum ich versucht habe, auf seinem System root zu werden. Es gab also eindeutig eine Art Berichterstattung, obwohl dies in densudo
Vortagen war.Antworten:
Die Administratoren eines Systems möchten wahrscheinlich wissen, wann ein nicht privilegierter Benutzer versucht, aber keine Befehle mit ausführt
sudo
. Wenn dies passiert, könnte dies ein Zeichen dafür seinDa
sudo
an sich nicht zwischen diesen unterscheiden kann, schlagen Versuche zu verwenden fehlsudo
den Admins zur Kenntnis gebracht.Je nachdem, wie
sudo
auf Ihrem System konfiguriert ist, kann jeder Versuch (erfolgreich oder nicht) verwendet werdensudo
protokolliert. Erfolgreiche Versuche werden zu Überwachungszwecken protokolliert (um verfolgen zu können, wer was wann getan hat) und fehlgeschlagene Sicherheitsversuche.Auf einem ziemlich vanille Ubuntu-Setup, das ich habe, ist dies angemeldet
/var/log/auth.log
.Wenn ein Benutzer dreimal das falsche Passwort eingibt oder wenn er nicht in der
sudoers
Datei enthalten ist, wird eine E - Mail an root gesendet (abhängig von der Konfiguration vonsudo
, siehe unten). Dies ist gemeint mit "dieser Vorfall wird gemeldet".Die E-Mail hat einen hervorgehobenen Betreff:
Der Nachrichtentext enthält beispielsweise die relevanten Zeilen aus der Protokolldatei
(Hier wird der Benutzer
nobody
versucht , laufenls
durchsudo
als root, aber nicht , da sie nicht in der warensudoers
Datei).Es wird keine E-Mail gesendet, wenn auf dem System keine (lokale) E-Mail eingerichtet wurde.
All diese Dinge sind ebenfalls konfigurierbar, und die lokalen Abweichungen in der Standardkonfiguration können sich zwischen den Unix-Varianten unterscheiden.
Sehen Sie sich die
mail_no_user
Einstellung (und die zugehörigenmail_*
Einstellungen) imsudoers
Handbuch an (mein Schwerpunkt unten):quelle
In Debian und seinen Derivaten werden die
sudo
Ereignisberichte protokolliert,/var/log/auth.log
die Systemautorisierungsinformationen enthalten, einschließlich der verwendeten Benutzeranmeldungen und Authentifizierungsmechanismen:Auf diese Protokolldatei können normalerweise nur Benutzer in der
adm
Gruppe zugreifen, dh Benutzer mit Zugriff auf Systemüberwachungsaufgaben :Aus dem Debian-Wiki :
Benutzer in der
adm
Gruppe sind normalerweise Administratoren . Mit dieser Gruppenberechtigung können sie Protokolldateien lesen, ohne dass dies erforderlich istsu
.Standardmäßig
sudo
wird die Syslog-Funktionauth
für die Protokollierung verwendet .sudo
‚s Logging - Verhalten kann das geändert werden mitlogfile
odersyslog
Optionen in/etc/sudoers
oder/etc/sudoers.d
:logfile
Option legt den Pfad zu festsudo
Protokolldatei fest.syslog
Option wird die Syslog-Funktion festgelegt, wennsyslog(3)
sie für die Protokollierung verwendet wird.Die Syslog-Funktion
auth
wird durch die folgende Konfigurationszeilengruppe auf "/var/log/auth.log
in" umgeleitetetc/syslog.conf
:quelle
Technisch bedeutet es nicht viel. Viele (wenn nicht alle) Anmeldungen anderer Softwareprotokolle sind fehlgeschlagen oder auf andere Weise. Zum Beispiel
sshd
undsu
:Außerdem verfügen viele Systeme über eine Art Automatisierung, um übermäßige Authentifizierungsfehler zu erkennen, um mögliche Brute-Force-Versuche zu bewältigen, oder verwenden Sie die Informationen einfach, um Ereignisse nach Auftreten von Problemen zu rekonstruieren.
sudo
macht hier nichts besonders außergewöhnliches. Die Meldung bedeutet lediglich, dass der Autor vonsudo
eine etwas aggressive Philosophie bei der Kommunikation mit Benutzern verfolgt hat, die Befehle ausführen, die er nicht verwenden kann.quelle
Es bedeutet einfach, dass jemand versucht hat, den
sudo
Befehl zu verwenden (um auf Administratorrechte zuzugreifen), der keine Berechtigung hat, ihn zu verwenden (weil er nicht in der sudoers-Datei aufgeführt ist). Dies kann ein Hacking-Versuch oder ein anderes Sicherheitsrisiko sein. Die Meldung besagt, dass die versuchte Verwendungsudo
an den Systemadministrator gemeldet wird, damit dieser nachforschen kann.quelle
sudo
der Bericht gesendet wird. In Ihrer Situation ist es mit nur einem Benutzer wahrscheinlich nicht sehr wichtig.