Что означает ошибка «X» в файле sudoers. Об этом инциденте сообщается. «Философски /логически означает?

Вдоль вопроса « Имя пользователя не находится в файле sudoers. Этот инцидент будет сообщен ", который объяснил программные аспекты ошибки и предложил некоторые обходные пути, я хочу знать: что означает эта ошибка?

X is not in the sudoers file.  This incident will be reported.

Первая часть ошибки объясняет, очевидно, ошибку. Но вторая часть говорит, что «эта ошибка будет сообщена» ?! Но почему? Почему сообщается об ошибке и где? Кому? Я и пользователь, и администратор, и не получил никакого отчета:)!

29 голосов | спросил Kasramvd 21 J0000006Europe/Moscow 2018, 15:22:23

4 ответа


39

Администратор (ы) системы, скорее всего, захочет узнать, когда непривилегированный пользователь пытается, но не выполняет команды, используя sudo. Если это произойдет, это может быть признаком

  1. Любопытный законный пользователь просто пытается выяснить, или
  2. хакер пытается делать «плохие вещи».

Так как sudo сам по себе не может различать эти, неудачные попытки использовать sudo доводятся до сведения администраторов.

В зависимости от того, как в вашей системе настроен sudo, любая попытка (успешно или не) использовать sudo. Успешные попытки регистрируются для целей аудита (чтобы отслеживать, кто сделал что когда) и неудачные попытки безопасности.

На довольно ванильной установке Ubuntu, которая у меня есть, это зарегистрировано в /var/log/auth.log.

Если пользователь вводит неверный пароль три раза или если он не находится в файле sudoers, электронное письмо отправляется root (в зависимости от конфигурации sudo, см. ниже). Это означает, что «этот инцидент будет сообщен».

В электронном письме будет заметный вопрос:

Subject: *** SECURITY information for thehostname ***

Тело сообщения содержит соответствующие строки из файла журнала, например

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Здесь пользователь nobody пытался запустить ls через sudo как root, но не удалось, так как они не были в sudoers).

Не отправляется электронное письмо, если в системе не была установлена ​​(локальная) почта.

Все эти вещи также настраиваются, а местные варианты конфигурации по умолчанию могут отличаться в разных вариантах Unix.

Посмотрите на параметр mail_no_user (и соответствующий mail_*) в руководстве sudoers (мое внимание ниже):

  

mail_no_user

     

Если установлено, почта будет отправлена ​​ пользователю mailto , если вызывающий пользователь не находится в sudoers файл. Этот флаг включен по умолчанию .

ответил Kusalananda 21 J0000006Europe/Moscow 2018, 16:51:42
15

В Debian и его производных отчеты об инцидентах sudo записываются в /var/log/auth.log, который содержит информацию о авторизации системы, включая пользовательские логины и механизмы аутентификации, которые были использованы:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Этот файл журнала обычно доступен только пользователям из группы adm, то есть пользователи с доступом к задачи системного мониторинга :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Из Debian Wiki :

  

Группа adm используется для задач системного мониторинга. Члены этой группы могут читать много файлов журнала в /var /log и могут использовать xconsole. Исторически, /var /log был /usr /adm (и позже /var /adm), таким образом, имя группы.

Пользователи в ---- +: = 5 =: + ---- обычно являются администраторами , и это групповое разрешение предназначено, чтобы позволить им читать файлы журналов без необходимости adm

По умолчанию su использует средство Syslog sudo для ведения журнала . auth можно изменить с помощью sudo или logfile в syslog или /etc/sudoers:

  • Параметр /etc/sudoers.d устанавливает путь к logfile.
  • Параметр sudo устанавливает средство Syslog, когда syslog используется для ведения журнала.

Объект Syslog syslog(3) перенаправляется на auth в /var/log/auth.log, используя следующую конфигурационную строфу:

etc/syslog.conf
ответил Thomas Nyman 21 J0000006Europe/Moscow 2018, 16:36:09
7

Технически это ничего не значит. Многие (если не все) другие журналы журналов программного обеспечения, неудачные или другие. Например sshd и su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Кроме того, многие системы имеют некоторую автоматизацию для обнаружения чрезмерных ошибок аутентификации, чтобы иметь возможность справляться с возможными попытками грубой силы или просто использовать информацию для восстановления событий после появления проблем.

sudo не делает ничего особенного здесь. Все сообщение означает, что автор sudo, похоже, принял довольно агрессивную философию в общении с пользователями, которые выполняют команды, которые они не могут использовать.

ответил ilkkachu 21 J0000006Europe/Moscow 2018, 18:07:27
6

Это просто означает, что кто-то попытался использовать команду sudo (для доступа к привилегии администратора), у кого нет разрешения на использование это (потому что они не указаны в файле sudoers). Это может быть попытка взлома или какой-либо другой угрозы безопасности, поэтому в сообщении говорится, что попытка использования sudo будет сообщаться системный администратор, чтобы они могли исследовать.

ответил Time4Tea 21 J0000006Europe/Moscow 2018, 15:30:29

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132