Tenter quelque chose de sournois sur ma machine conduit à
ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan:
ryan is not in the sudoers file. This incident will be reported.
Où cet incident est-il signalé et comment obtenir le journal de toutes les commandes malveillantes?
Réponses:
Peu importe, je viens de trouver la réponse dans le texte alternatif de xkcd :
Remplacez-le rootpar votre nom d'utilisateur, dans mon cas ryan, de sorte que le journal se trouve avec:
cat /var/spool/mail/ryan
/var/spool/maildistributions utilisant systemd (Archlinux dans mon cas). Dans ce cas, vous pouvez trouver ce rapport dans le journal en utilisant la journalctlcommande. (@shellter - en raison d'un sujet fermé - en désaccord - je devais publier un commentaire, pas une autre réponse valide)
journalctlcommande pour cela est sudo journalctl /bin/sudo.
/var/log/auth.log
cat /var/log/auth.log | grep sudoers.
rootmoins qu'il y ait un set de transfert? L'essentiel devrait être que l'e-mail soit envoyé à l'administrateur. De plus, bien sûr, une fois qu'un transfert est défini, vous pouvez chatter le fichier spoule, mais vous pouvez également utiliser un client de messagerie, comme mail, nail ou quelque chose d'autre qui prend en charge la lecture à partir du spool local (je dirais que c'est généralement le cas sauf peut-être pour les clients GUI "importés" du monde Windows).