「Xがsudoersファイルにありません。このイベントが報告されます」というエラーはどういう意味ですか?哲学的/論理的にはどういう意味ですか?

「Xがsudoersファイルにありません。このイベントが報告されます」というエラーはどういう意味ですか?哲学的/論理的にはどういう意味ですか?

質問の隣に」ユーザー名がsudoersファイルにありません。このイベントが報告されます。「エラーのプログラミングの側面を説明し、いくつかの解決策を提案しました。このエラーが何を意味するのか疑問に思います。

X is not in the sudoers file.  This incident will be reported.

エラーの前の部分では、エラーを明確に説明しています。ところで2番目の部分に「このエラーは報告されます」とされていますか? !しかし、なぜ?エラーが報告されるのはなぜですか。エラーが報告される場所は何ですか?誰に?私はユーザーと管理者ですが、どのレポートも受け取りません:)!

答え1

システム管理者は、権限のないユーザーが実行コマンドを使用しようとしたが失敗した場合に疑問を抱く可能性がありますsudo。これが発生した場合は、信号になる可能性があります。

  1. 気になる合法的なユーザーが一度試してみるか、
  2. 「悪い」ことをしたいハッカーです。

sudoこれを独自に区別する方法がないため、失敗した使用の試みはsudo管理者に通知されます。

sudoシステムの構成方法によっては、すべての試行(成功または失敗)sudoが記録されます。成功した試みは監査目的で記録され(誰がいつ何をしたかを追跡できます)、失敗した試みはセキュリティ目的で記録されます。

私が持っているかなり在庫があるUbuntu設定では、これはloginです/var/log/auth.log

ユーザーが間違ったパスワードを3回入力した場合、またはパスワードがファイルにない場合は、sudoers電子メールがrootに送信されます(設定によってはsudo下記を参照)。これが「問題が報告されます」という意味です。

メールには目立つタイトルがあります。

Subject: *** SECURITY information for thehostname ***

メッセージ本文にはログファイルの関連行が含まれています。

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(ここでユーザーはnobodyrootとして実行しようとしlsますが、ファイルにsudoないため失敗します。)sudoers

(ローカル) メールがシステムに設定されていない場合、メールは送信されません。

これらの項目はすべて設定可能で、デフォルト設定のローカルバリアントはUnixバリアントによって異なる場合があります。

マニュアルのmail_no_user設定(および関連mail_*設定)を見てくださいsudoers(下記の主な内容)。

mail_no_user

設定するとメールが送信されますメールツーユーザーへsudoers呼び出しユーザーがファイルにない場合。このフラグはデフォルトでオンになっています。

答え2

Debianおよびその派生製品からsudo記録されたイベントレポートには、/var/log/auth.logログインしたユーザーと使用された認証メカニズムを含むシステム認証情報が含まれています。

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

このログファイルは通常、admグループ内のユーザー、つまりアクセス権を持つユーザーのみがアクセスできます。システム監視タスク:

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

~からDebian Wiki:

グループ adm は、システム監視操作に使用されます。このグループのメンバーは、/ var / logにある多くのログファイルを読み取ることができ、xconsoleを使用できます。歴史的に /var/log は /usr/adm (以降は /var/adm) だったので、グループ名になりました。

グループのユーザーはadm通常管理者です。su、このグループの権限は。なしでログファイルを読み取ることができるように設計されています。

デフォルトでは、ログにsudoSyslogツールを使用します。auth。または、またはオプションを使用してのsudoロギング動作を変更できます。logfilesyslog/etc/sudoers/etc/sudoers.d

  • このlogfileオプションはログファイルのパスを設定しますsudo
  • このsyslogオプションは、次の条件でSyslogツールを設定します。syslog(3)ロギングに使用されます。

次の設定セクションがある場合、syslogauthツールは次にリダイレクトされます。/var/log/auth.logetc/syslog.conf

auth,authpriv.*         /var/log/auth.log

答え3

技術的に、これはあまり意味がありません。すべてではありませんが、他の多くのソフトウェアログのログイン、失敗、またはその他の状況。たとえば、次のようにsshdなりsuます。

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

さらに、多くのシステムには、過度の認証エラーを検出して可能な無差別代入試行を処理するか、またはその情報を使用して問題が発生した後にイベントを再構成する一種の自動化機能があります。

sudoここでは特に特別なことはありません。すべてのメッセージが意味するのは、著者がsudo偶然に使用できないコマンドを実行しているユーザーと通信するときに一種の急進的な哲学を採用したようです。

答え4

これは、誰かが管理者権限でコマンドを使用しようとしていますsudoが、コマンドを使用する権限がないことを意味します(sudoersファイルにリストされていないため)。これはハッキングや他の種類のセキュリティリスクの可能性があるため、このメッセージはその試行がsudoシステム管理者に報告され調査されることを意味します。

関連情報