Bersamaan dengan pertanyaan " Nama pengguna tidak ada dalam file sudoers. Kejadian ini akan dilaporkan " yang menjelaskan aspek program kesalahan dan menyarankan beberapa solusi, saya ingin tahu: apa arti kesalahan ini?
X is not in the sudoers file. This incident will be reported.
Bagian mantan kesalahan menjelaskan, dengan jelas, kesalahan. Tetapi bagian kedua mengatakan bahwa "Kesalahan ini akan dilaporkan" ?! Tapi kenapa? Mengapa kesalahan akan dilaporkan dan di mana? Kepada siapa? Saya pengguna sekaligus administrator dan tidak menerima laporan apa pun :)!
sudo
user-interface
Kasramvd
sumber
sumber
sudo
adalah suatu hal, saya mencoba melakukan sesuatu sebagai root pada kotak Linux pribadi saya. Jadi saya larisu
. Ketika menolak kata sandi saya, saya mencoba lagi beberapa kali berpikir saya salah mengetik kata sandi. Akhirnya saya menyadari bahwa terminal itu masuk ke server email sekolah. Tidak lama setelah itu, server email sysadmin bertanya kepada saya mengapa saya mencoba melakukan root pada sistemnya. Jadi jelas ada semacam pelaporan meskipun pada masa pra-sudo
hari.Jawaban:
Administrator sistem cenderung ingin tahu kapan pengguna yang tidak memiliki hak istimewa mencoba tetapi gagal untuk mengeksekusi perintah menggunakan
sudo
. Jika ini terjadi, itu bisa menjadi pertandaKarena
sudo
dengan sendirinya tidak dapat membedakan antara ini, upaya gagal untuk digunakansudo
dibawa ke perhatian admin.Bergantung pada bagaimana
sudo
dikonfigurasi pada sistem Anda, segala upaya (berhasil atau tidak) untuk digunakansudo
akan dicatat. Upaya yang berhasil dicatat untuk tujuan audit (untuk dapat melacak siapa yang melakukan apa kapan), dan upaya keamanan yang gagal.Pada pengaturan Ubuntu vanilla yang saya miliki, ini masuk
/var/log/auth.log
.Jika pengguna memberikan kata sandi yang salah tiga kali, atau jika tidak ada dalam
sudoers
file, email dikirim ke root (tergantung pada konfigurasisudo
, lihat di bawah). Inilah yang dimaksud dengan "kejadian ini akan dilaporkan".Email akan memiliki subjek yang menonjol:
Badan pesan berisi baris yang relevan dari logfile, misalnya
(Di sini, pengguna
nobody
mencoba untuk menjalankanls
melaluisudo
sebagai root, namun gagal karena mereka tidak berada disudoers
file).Tidak ada email yang dikirim jika surat (lokal) belum diatur pada sistem.
Semua hal ini dapat dikonfigurasi juga, dan bahwa variasi lokal dalam konfigurasi default dapat berbeda antara varian Unix.
Lihat
mail_no_user
pengaturan (danmail_*
pengaturan terkait ) disudoers
manual (penekanan saya di bawah):sumber
Dalam Debian dan turunannya,
sudo
laporan insiden dicatat dengan/var/log/auth.log
berisi informasi otorisasi sistem, termasuk login pengguna dan mekanisme otentikasi yang digunakan:File log ini biasanya hanya dapat diakses oleh pengguna dalam
adm
grup, yaitu pengguna dengan akses ke tugas pemantauan sistem :Dari Wiki Debian :
Pengguna dalam
adm
grup biasanya adalah administrator , dan izin grup ini dimaksudkan untuk memungkinkan mereka membaca file log tanpa harus melakukannyasu
.Secara default
sudo
menggunakanauth
fasilitas Syslog untuk logging .sudo
perilaku logging 's dapat dimodifikasi dengan menggunakanlogfile
atausyslog
pilihan dalam/etc/sudoers
atau/etc/sudoers.d
:logfile
pilihan set path kesudo
file log.syslog
pilihan menetapkan fasilitas Syslog ketikasyslog(3)
sedang digunakan untuk penebangan.The Syslog
auth
fasilitas diarahkan ke/var/log/auth.log
dalametc/syslog.conf
dengan kehadiran bait konfigurasi berikut:sumber
Secara teknis, itu tidak berarti banyak. Banyak (jika tidak semua) perangkat lunak lain login, gagal atau sebaliknya. Sebagai contoh
sshd
dansu
:Juga, banyak sistem memiliki semacam otomatisasi untuk mendeteksi kesalahan otentikasi yang berlebihan untuk dapat mengatasi kemungkinan upaya kekerasan, atau hanya menggunakan informasi untuk merekonstruksi peristiwa setelah masalah muncul.
sudo
tidak melakukan sesuatu yang luar biasa di sini. Semua pesan yang dimaksud adalah bahwa penulissudo
tampaknya telah mengambil filosofi yang agak agresif dalam berkomunikasi dengan pengguna yang kebetulan menjalankan perintah yang tidak dapat mereka gunakan.sumber
Ini berarti bahwa seseorang mencoba menggunakan
sudo
perintah (untuk mengakses hak istimewa admin), yang tidak memiliki izin untuk menggunakannya (karena mereka tidak tercantum dalam file sudoers). Ini bisa berupa upaya peretasan atau semacam risiko keamanan lainnya, jadi pesannya mengatakan bahwa upaya penggunaansudo
akan dilaporkan ke administrator sistem, sehingga mereka dapat menyelidikinya.sumber
sudo
mengirim laporan. Dalam situasi Anda, dengan hanya satu pengguna, itu mungkin tidak terlalu penting.