“X sudoers dosyasında değil” hatası nedir. Bu olay raporlanacak. ”Felsefi / mantıksal demek?

Hatanın programlı yönlerini açıklayan ve bazı geçici çözümler öneren “ Kullanıcı adı sudoers dosyasında değil. Bu olay bildirilecek ” sorusu yanında, şunu bilmek istiyorum: bu hata ne anlama geliyor?

X is not in the sudoers file.  This incident will be reported.

Hatanın eski kısmı, hatayı açıkça açıklar. Ancak ikinci bölüm "Bu hata bildirilecek" diyor ?! Ama neden? Neden hata bildirilecek ve nerede? Kime? Hem kullanıcı hem de yönetici oldum ve herhangi bir rapor alamadım :)!

Bir sistemin yöneticilerinin ayrıcalıklı olmayan bir kullanıcının ne zaman çalıştığını, ancak kullanarak komutları yerine getiremediğini bilmek istemeleri muhtemeldir sudo. Bu olursa, işareti olabilir

1. meraklı bir meşru kullanıcı sadece bir şeyler deniyor ya da
2. "kötü şeyler" yapmaya çalışan bir hacker.

Yana sudokendisinin bu ayırt edemez tarafından, kullanımına başarısız girişim sudoyöneticileri dikkatine getirilir.

Sisteminizde nasıl sudoyapılandırıldığına bağlı olarak , herhangi bir girişim (başarılı veya değil) kullanılacaktır sudo. Başarılı girişimler denetim amacıyla kaydedilir (kimin ne zaman ne yaptığını takip edebilmek için) ve güvenlik girişimleri başarısız olur.

Sahip olduğum oldukça vanilyalı bir Ubuntu kurulumunda bu oturum açıldı /var/log/auth.log.

Bir kullanıcı üç kez yanlış parola verirse veya sudoersdosyada değilse, root adresine bir e-posta gönderilir (yapılandırmasına bağlı olarak sudoaşağıya bakın). "Bu olay bildirilecek" ile kastedilen budur.

E-posta belirgin bir konuya sahip olacaktır:

Subject: *** SECURITY information for thehostname ***

Mesajın gövdesi, örneğin günlük dosyasındaki ilgili satırları içerir.

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Burada, kullanıcı nobodyçalıştırmayı denedi lsyoluyla sudoroot olarak, ancak bunlar değildi çünkü başarısız sudoersdosyası).

Sistemde (yerel) posta ayarlanmadığında e-posta gönderilmez.

Bunların hepsi de konfigüre edilebilir ve varsayılan konfigürasyondaki yerel varyasyonlar Unix varyantları arasında farklılık gösterebilir.

Kılavuzdaki mail_no_userayara (ve ilgili mail_*ayarlara) bir göz atın sudoers(aşağıdaki vurgumu):

mail_no_user

Ayarlanırsa , çağıran kullanıcı sudoersdosyada değilse , posta postaneye gönderilir . Bu bayrak varsayılan olarak açıktır .

Debian ve türevlerinde, kullanıcı girişleri ve kullanılan kimlik doğrulama mekanizmaları dahil olmak üzere sistem yetkilendirme bilgilerini içeren sudoolay raporları günlüğe kaydedilir /var/log/auth.log:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Bu günlük dosyasına genellikle yalnızca admgruptaki kullanıcılar, yani sistem izleme görevlerine erişimi olan kullanıcılar erişebilir :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Gönderen Debian Wiki :

Grup takibi, sistem izleme görevleri için kullanılır. Bu grubun üyeleri / var / log'daki birçok günlük dosyasını okuyabilir ve xconsole kullanabilir. Tarihsel olarak, / var / log / usr / adm (ve daha sonra / var / adm) idi, dolayısıyla grubun adıydı.

Kullanıcılar admgrubunun genellikle yöneticiler vardır ve bu grup izni onları gerek kalmadan günlük dosyalarını okumasına izin amaçlanmıştır su.

Varsayılan olarak sudo, authgünlüğe kaydetme için Syslog özelliğini kullanır . sudobireyin günlük davranış kullanılarak değiştirilebilir logfileveya syslogseçenekleri /etc/sudoersya /etc/sudoers.d:

• logfileSeçenek yolunu belirler sudogünlük dosyasında.
• Bu syslogseçenek syslog(3), kayıt için kullanıldığında Syslog tesisini ayarlar .

Sistem Günlüğü authtesisin yönlendirilir /var/log/auth.logiçinde etc/syslog.confaşağıdaki yapılandırma dörtlük varlığı ile:

auth,authpriv.*         /var/log/auth.log

Teknik olarak, fazla bir şey ifade etmiyor. Pek çok (tümü değilse), diğer birçok yazılım, oturum açar, başarısız veya başka şekilde kaydeder. Örneğin sshdve su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Ayrıca, birçok sistem olası kaba kuvvet girişimleriyle başa çıkabilmek için aşırı doğrulama hatalarını tespit etmek için bir çeşit otomasyona sahiptir veya problemleri ortaya çıktıktan sonra olayları yeniden oluşturmak için bilgileri kullanır.

sudoburada özellikle istisnai bir şey yapmaz. Mesajın anlamı, yazarın, sudokullanamadıkları komutları kullanan kullanıcılarla iletişim kurmada biraz saldırgan bir felsefe almış gibi göründüğü.

Bu sadece birisinin sudo(sudoers dosyasında listelenmemiş olmaları nedeniyle) kullanma yetkisi olmayan bir komutu (yönetici ayrıcalıklarına erişmek için) kullanmaya çalıştığı anlamına gelir . Bu, bilgisayar korsanlığı girişimi veya başka tür bir güvenlik riski olabilir, bu nedenle mesajın kullanılmaya çalışılmasının sudosistem yöneticisine bildirileceğini, böylece araştırabileceklerini söylüyor .