“X sudoers dosyasında değil” hatası nedir. Bu olay raporlanacak. ”Felsefi / mantıksal demek?


31

Hatanın programlı yönlerini açıklayan ve bazı geçici çözümler öneren “ Kullanıcı adı sudoers dosyasında değil. Bu olay bildirilecek ” sorusu yanında, şunu bilmek istiyorum: bu hata ne anlama geliyor?

X is not in the sudoers file.  This incident will be reported.

Hatanın eski kısmı, hatayı açıkça açıklar. Ancak ikinci bölüm "Bu hata bildirilecek" diyor ?! Ama neden? Neden hata bildirilecek ve nerede? Kime? Hem kullanıcı hem de yönetici oldum ve herhangi bir rapor alamadım :)!


12
Felsefi?!? Veya teknik olarak?
Jeff Schaller


9
(İyi) bir sistem sessizce birçok şeyi kaydeder. Bir sürü şey. Özellikle de hatalar. Özellikle de onları kötü niyetli olarak görürse. OP'nin "felsefi" hakkında soru sorarak, bu somut hatanın neden sizi bu kadar korkutucu bir şekilde uyardığını, diğer birçok başarısızlığın da sessizce bildirildiğini sorduğunu düşünüyorum. Şu anda orijinal kodlayıcının yazdığı şey olabilir, ancak birçok sürümden sonra hiç değişmedi ve daha derin bir anlam olabilirdi. Ya da belki değil. Odak bu ise, bence epeyce merak ettiğim harika bir soru.
xDaizu

4
Bu, muhtemelen 1 bilgisayarı kullanan bir binanın olduğu ve bilgisayarın tam zamanlı olarak çalıştığı bir yönetici / operatörün olduğu zamana kadar uzanır.
user253751

1
Yıllar önce üniversitedeyken ve sudobir şey olmadan önce , kişisel Linux kutumda kök olarak bir şeyler yapmaya çalışıyordum. Ben koştum su. Şifremi reddettiğinde, şifremi yanlış yazdığımı düşünerek birkaç kez tekrar denedim. Sonunda bu terminalin okulun e-posta sunucusuna giriş yaptığını anladım. Bundan kısa bir süre sonra, e-posta sunucusu sysadmin bana neden sisteminden root almaya çalıştığımı sordu. Dolayısıyla, önceden rapor edilmiş olmasına rağmen bir tür raporlama olduğu açıkça görülüyordu sudo.
Scott Severance,

Yanıtlar:


38

Bir sistemin yöneticilerinin ayrıcalıklı olmayan bir kullanıcının ne zaman çalıştığını, ancak kullanarak komutları yerine getiremediğini bilmek istemeleri muhtemeldir sudo. Bu olursa, işareti olabilir

  1. meraklı bir meşru kullanıcı sadece bir şeyler deniyor ya da
  2. "kötü şeyler" yapmaya çalışan bir hacker.

Yana sudokendisinin bu ayırt edemez tarafından, kullanımına başarısız girişim sudoyöneticileri dikkatine getirilir.

Sisteminizde nasıl sudoyapılandırıldığına bağlı olarak , herhangi bir girişim (başarılı veya değil) kullanılacaktır sudo. Başarılı girişimler denetim amacıyla kaydedilir (kimin ne zaman ne yaptığını takip edebilmek için) ve güvenlik girişimleri başarısız olur.

Sahip olduğum oldukça vanilyalı bir Ubuntu kurulumunda bu oturum açıldı /var/log/auth.log.

Bir kullanıcı üç kez yanlış parola verirse veya sudoersdosyada değilse, root adresine bir e-posta gönderilir (yapılandırmasına bağlı olarak sudoaşağıya bakın). "Bu olay bildirilecek" ile kastedilen budur.

E-posta belirgin bir konuya sahip olacaktır:

Subject: *** SECURITY information for thehostname ***

Mesajın gövdesi, örneğin günlük dosyasındaki ilgili satırları içerir.

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Burada, kullanıcı nobodyçalıştırmayı denedi lsyoluyla sudoroot olarak, ancak bunlar değildi çünkü başarısız sudoersdosyası).

Sistemde (yerel) posta ayarlanmadığında e-posta gönderilmez.

Bunların hepsi de konfigüre edilebilir ve varsayılan konfigürasyondaki yerel varyasyonlar Unix varyantları arasında farklılık gösterebilir.

Kılavuzdaki mail_no_userayara (ve ilgili mail_*ayarlara) bir göz atın sudoers(aşağıdaki vurgumu):

mail_no_user

Ayarlanırsa , çağıran kullanıcı sudoersdosyada değilse , posta postaneye gönderilir . Bu bayrak varsayılan olarak açıktır .


Veya, daha sık, örneğin, 3) biri yanlış yazıyor du. Bunu yaptığım bir işverende, düzenli olarak bana gönderilen e-postayı alıyorum, alıcı listesiyle birlikte ofis yerini belirten e-postayı ve ofis dışında zıplayan uyarı e-posta içeriklerini alıyordum. Bir zamanlar özür dilemek ve hepsinden biraz korkmak için ofisine gittim, sanırım. Belki de, sıradan faaliyetlerde bulunan saygın bir adam olmasına rağmen, bazen siyah bir kapüşonlu yerde dolaşıyorum ve @Kusalananda'nın onaylayabileceği gibi stok fotoğraflarındaki adamlar gibi bir çift DM.
Dannie,

15

Debian ve türevlerinde, kullanıcı girişleri ve kullanılan kimlik doğrulama mekanizmaları dahil olmak üzere sistem yetkilendirme bilgilerini içeren sudoolay raporları günlüğe kaydedilir /var/log/auth.log:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Bu günlük dosyasına genellikle yalnızca admgruptaki kullanıcılar, yani sistem izleme görevlerine erişimi olan kullanıcılar erişebilir :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Gönderen Debian Wiki :

Grup takibi, sistem izleme görevleri için kullanılır. Bu grubun üyeleri / var / log'daki birçok günlük dosyasını okuyabilir ve xconsole kullanabilir. Tarihsel olarak, / var / log / usr / adm (ve daha sonra / var / adm) idi, dolayısıyla grubun adıydı.

Kullanıcılar admgrubunun genellikle yöneticiler vardır ve bu grup izni onları gerek kalmadan günlük dosyalarını okumasına izin amaçlanmıştır su.

Varsayılan olarak sudo, authgünlüğe kaydetme için Syslog özelliğini kullanır . sudobireyin günlük davranış kullanılarak değiştirilebilir logfileveya syslogseçenekleri /etc/sudoersya /etc/sudoers.d:

  • logfileSeçenek yolunu belirler sudogünlük dosyasında.
  • Bu syslogseçenek syslog(3), kayıt için kullanıldığında Syslog tesisini ayarlar .

Sistem Günlüğü authtesisin yönlendirilir /var/log/auth.logiçinde etc/syslog.confaşağıdaki yapılandırma dörtlük varlığı ile:

auth,authpriv.*         /var/log/auth.log

7

Teknik olarak, fazla bir şey ifade etmiyor. Pek çok (tümü değilse), diğer birçok yazılım, oturum açar, başarısız veya başka şekilde kaydeder. Örneğin sshdve su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Ayrıca, birçok sistem olası kaba kuvvet girişimleriyle başa çıkabilmek için aşırı doğrulama hatalarını tespit etmek için bir çeşit otomasyona sahiptir veya problemleri ortaya çıktıktan sonra olayları yeniden oluşturmak için bilgileri kullanır.

sudoburada özellikle istisnai bir şey yapmaz. Mesajın anlamı, yazarın, sudokullanamadıkları komutları kullanan kullanıcılarla iletişim kurmada biraz saldırgan bir felsefe almış gibi göründüğü.


6

Bu sadece birisinin sudo(sudoers dosyasında listelenmemiş olmaları nedeniyle) kullanma yetkisi olmayan bir komutu (yönetici ayrıcalıklarına erişmek için) kullanmaya çalıştığı anlamına gelir . Bu, bilgisayar korsanlığı girişimi veya başka tür bir güvenlik riski olabilir, bu nedenle mesajın kullanılmaya çalışılmasının sudosistem yöneticisine bildirileceğini, böylece araştırabileceklerini söylüyor .


1
Yerel makinemde tek kullanıcı ve yöneticiyim ve size herhangi bir rapor almadığımı söyleyebilirim!
Kasramvd

4
@Kasramvd muhtemelen bir dosyada bir dosyada yaptınız. sudoRaporu nereye gönderdiğini tam olarak bilmiyorum . Sizin durumunuzda, sadece bir kullanıcı ile, muhtemelen çok önemli değil.
Time4Tea

2
@Kasramvd, kök kullanıcıya bir e-posta gönderdiniz mi? Ayrıca, yönetici sizsiniz ancak hesabınız için sudo'nuz yok mu? Ayrıcalık yükselişini nasıl ele alıyorsunuz?
doneal24

@Kasramvd Size bildirilmedi ....
Thorbjørn Ravn Andersen

1
@Kasramvd Yönetici olduğunuzu DÜŞÜNSünüz. İşletim sistemi size açıkça yönetici olarak davranma izniniz olmadığını söylüyor - en iyi durumda donanımın sahibisiniz ama bu sizi mutlaka yönetici
yapmaz
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.