主页 / unix / 问题 / 451085
Accepted
Mazdak
Asked: 2018-06-22 04:22:23 +0800 CST

什么错误“X不在sudoers文件中。这个事件将被报告。” 哲学上/逻辑上是什么意思?

  • 772

除了“用户名不在 sudoers 文件中。将报告此事件”的问题之外,该问题解释了错误的程序方面并提出了一些解决方法,我想知道:这个错误是什么意思?

X is not in the sudoers file.  This incident will be reported.

错误的前一部分清楚地解释了错误。但是第二部分说“会报这个错误”?!但为什么?为什么会报错,在哪里报错?给谁?我既是用户又是管理员,没有收到任何报告 :)!

sudo user-interface

4 个回答

  1. Best Answer

    系统管理员可能想知道非特权用户何时尝试使用sudo. 如果发生这种情况,这可能是一个迹象

    1. 一个好奇的合法用户只是尝试一下,或者
    2. 试图做“坏事”的黑客。

    由于sudo本身无法区分这些,因此失败的使用尝试sudo会引起管理员的注意。

    根据系统上的配置方式,将记录sudo任何使用尝试(成功与否) 。sudo记录成功的尝试是为了审计目的(以便能够跟踪谁在什么时候做了什么),失败的尝试是为了安全而记录的。

    在我拥有的一个相当普通的 Ubuntu 设置上,这是登录的/var/log/auth.log

    如果用户三次输入错误密码,或者他们不在sudoers文件中,则会向 root 发送一封电子邮件(取决于 的配置sudo,见下文)。这就是“此事件将被报道”的意思。

    该电子邮件将有一个突出的主题:

    Subject: *** SECURITY information for thehostname ***

    消息的正文包含日志文件中的相关行,例如

    thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

    (在这里,用户nobody尝试以 root 身份运行lssudo但由于他们不在sudoers文件中而失败)。

    如果尚未在系统上设置(本地)邮件,则不会发送电子邮件。

    所有这些东西也是可配置的,默认配置中的局部变化可能在 Unix 变体之间有所不同。

    看看手册中的mail_no_user设置(和相关mail_*设置)sudoers(我在下面强调):

    mail_no_user

    如果设置,如果调用用户不在文件中,邮件将发送给 mailto 用户sudoers默认情况下,此标志处于打开状态

    • 39

  2. 在 Debian 及其衍生版本中,sudo事件报告被记录到/var/log/auth.log其中包含系统授权信息,包括使用的用户登录和身份验证机制:

    $ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

    此日志文件通常只能由adm组中的用户访问,即有权访问系统监控任务的用户:

    $ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

    来自Debian 维基

    组 adm 用于系统监控任务。该组的成员可以读取 /var/log 中的许多日志文件,并且可以使用 xconsole。从历史上看,/var/log 是 /usr/adm(后来是 /var/adm),因此是该组的名称。

    组中的用户adm通常是管理员,而此组权限旨在让他们无需阅读日志文件即可su

    默认情况下sudo使用 Syslogauth工具进行日志记录sudo的日志记录行为可以使用 or 中的orlogfile选项syslog进行修改:/etc/sudoers/etc/sudoers.d

    • logfile选项设置sudo日志文件的路径。
    • 该选项在用于记录syslog时设置 Syslog 设施。syslog(3)

    Syslog工具通过以下配置节的存在被auth重定向到:/var/log/auth.logetc/syslog.conf

    auth,authpriv.*         /var/log/auth.log
    • 17

  3. 从技术上讲,这并不意味着什么。许多(如果不是全部)其他软件记录登录,失败或其他。例如sshdsu

    Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

    此外,许多系统具有某种自动化来检测过多的身份验证错误,以便能够处理可能的暴力尝试,或者只是在问题出现后使用这些信息来重建事件。

    sudo在这里没有做任何特别特别的事情。所有信息的意思是,作者sudo在与碰巧运行他们无法使用的命令的用户交流时似乎采取了一种有点激进的理念。

    • 8

  4. 它只是意味着有人试图使用该sudo命令(访问管理员权限),但没有使用它的授权(因为他们没有在 sudoers 文件中列出)。这可能是黑客攻击或其他类型的安全风险,因此消息表明尝试使用sudo将报告给系统管理员,以便他们进行调查。

    • 6

相关问题