質問の隣に」ユーザー名がsudoersファイルにありません。このイベントが報告されます。「エラーのプログラミングの側面を説明し、いくつかの解決策を提案しました。このエラーが何を意味するのか疑問に思います。
X is not in the sudoers file. This incident will be reported.
エラーの前の部分では、エラーを明確に説明しています。ところで2番目の部分に「このエラーは報告されます」とされていますか? !しかし、なぜ?エラーが報告されるのはなぜですか。エラーが報告される場所は何ですか?誰に?私はユーザーと管理者ですが、どのレポートも受け取りません:)!
答え1
システム管理者は、権限のないユーザーが実行コマンドを使用しようとしたが失敗した場合に疑問を抱く可能性がありますsudo
。これが発生した場合は、信号になる可能性があります。
- 気になる合法的なユーザーが一度試してみるか、
- 「悪い」ことをしたいハッカーです。
sudo
これを独自に区別する方法がないため、失敗した使用の試みはsudo
管理者に通知されます。
sudo
システムの構成方法によっては、すべての試行(成功または失敗)sudo
が記録されます。成功した試みは監査目的で記録され(誰がいつ何をしたかを追跡できます)、失敗した試みはセキュリティ目的で記録されます。
私が持っているかなり在庫があるUbuntu設定では、これはloginです/var/log/auth.log
。
ユーザーが間違ったパスワードを3回入力した場合、またはパスワードがファイルにない場合は、sudoers
電子メールがrootに送信されます(設定によってはsudo
下記を参照)。これが「問題が報告されます」という意味です。
メールには目立つタイトルがあります。
Subject: *** SECURITY information for thehostname ***
メッセージ本文にはログファイルの関連行が含まれています。
thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls
(ここでユーザーはnobody
rootとして実行しようとしls
ますが、ファイルにsudo
ないため失敗します。)sudoers
(ローカル) メールがシステムに設定されていない場合、メールは送信されません。
これらの項目はすべて設定可能で、デフォルト設定のローカルバリアントはUnixバリアントによって異なる場合があります。
マニュアルのmail_no_user
設定(および関連mail_*
設定)を見てくださいsudoers
(下記の主な内容)。
mail_no_user
設定するとメールが送信されますメールツーユーザーへ
sudoers
呼び出しユーザーがファイルにない場合。このフラグはデフォルトでオンになっています。。
答え2
Debianおよびその派生製品からsudo
記録されたイベントレポートには、/var/log/auth.log
ログインしたユーザーと使用された認証メカニズムを含むシステム認証情報が含まれています。
$ sudo su
[sudo] password for regularjohn:
regularjohn is not in the sudoers file. This incident will be reported.
[as root]
$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su
このログファイルは通常、adm
グループ内のユーザー、つまりアクセス権を持つユーザーのみがアクセスできます。システム監視タスク:
$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log
~からDebian Wiki:
グループ adm は、システム監視操作に使用されます。このグループのメンバーは、/ var / logにある多くのログファイルを読み取ることができ、xconsoleを使用できます。歴史的に /var/log は /usr/adm (以降は /var/adm) だったので、グループ名になりました。
グループのユーザーはadm
通常管理者です。su
、このグループの権限は。なしでログファイルを読み取ることができるように設計されています。
デフォルトでは、ログにsudo
Syslogツールを使用します。auth
。または、またはオプションを使用してのsudo
ロギング動作を変更できます。logfile
syslog
/etc/sudoers
/etc/sudoers.d
- この
logfile
オプションはログファイルのパスを設定しますsudo
。 - この
syslog
オプションは、次の条件でSyslogツールを設定します。syslog(3)
ロギングに使用されます。
次の設定セクションがある場合、syslogauth
ツールは次にリダイレクトされます。/var/log/auth.log
etc/syslog.conf
auth,authpriv.* /var/log/auth.log
答え3
技術的に、これはあまり意味がありません。すべてではありませんが、他の多くのソフトウェアログのログイン、失敗、またはその他の状況。たとえば、次のようにsshd
なりsu
ます。
Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1 user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost= user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser
さらに、多くのシステムには、過度の認証エラーを検出して可能な無差別代入試行を処理するか、またはその情報を使用して問題が発生した後にイベントを再構成する一種の自動化機能があります。
sudo
ここでは特に特別なことはありません。すべてのメッセージが意味するのは、著者がsudo
偶然に使用できないコマンドを実行しているユーザーと通信するときに一種の急進的な哲学を採用したようです。
答え4
これは、誰かが管理者権限でコマンドを使用しようとしていますsudo
が、コマンドを使用する権限がないことを意味します(sudoersファイルにリストされていないため)。これはハッキングや他の種類のセキュリティリスクの可能性があるため、このメッセージはその試行がsudo
システム管理者に報告され調査されることを意味します。