Où les incidents sudo sont-ils signalés? [fermé]


130

Tenter quelque chose de sournois sur ma machine conduit à

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

Où cet incident est-il signalé et comment obtenir le journal de toutes les commandes malveillantes?

Réponses:


191

Peu importe, je viens de trouver la réponse dans le texte alternatif de xkcd :

xkcd838

Remplacez-le rootpar votre nom d'utilisateur, dans mon cas ryan, de sorte que le journal se trouve avec:

cat /var/spool/mail/ryan

6
Ne serait-ce pas à rootmoins qu'il y ait un set de transfert? L'essentiel devrait être que l'e-mail soit envoyé à l'administrateur. De plus, bien sûr, une fois qu'un transfert est défini, vous pouvez chatter le fichier spoule, mais vous pouvez également utiliser un client de messagerie, comme mail, nail ou quelque chose d'autre qui prend en charge la lecture à partir du spool local (je dirais que c'est généralement le cas sauf peut-être pour les clients GUI "importés" du monde Windows).
njsg

13
Il n'y a rien dans les /var/spool/maildistributions utilisant systemd (Archlinux dans mon cas). Dans ce cas, vous pouvez trouver ce rapport dans le journal en utilisant la journalctlcommande. (@shellter - en raison d'un sujet fermé - en désaccord - je devais publier un commentaire, pas une autre réponse valide)
dmnc

1
@dmnc Je peux le confirmer, la journalctlcommande pour cela est sudo journalctl /bin/sudo.
simonzack

16
Je sais que cela s'appelle «debian», mais je suis venu chercher Ubuntu. Donc, pour le bénéfice des autres à la recherche du journal de sortie d'Ubuntu, j'ai trouvé des échecs sudo dans:/var/log/auth.log
CJBS

Plus précisément, pour ne voir que les échecs sudo dans l'utilisation d'Ubuntu cat /var/log/auth.log | grep sudoers.
akshayk07

34

Le rapport est envoyé par e-mail à l' rootutilisateur. De nombreuses distributions Linux configureront automatiquement un alias pour cet utilisateur en dirigeant le courrier vers le premier compte créé lors du processus d'installation.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.