Gdzie zgłaszane są incydenty sudo? [Zamknięte]

133

Próba wykonania czegoś podstępnego na mojej maszynie prowadzi do

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

Gdzie jest zgłaszany ten incydent i jak uzyskać dziennik wszystkich nieprzyjemnych prób komend?

— user1717828
źródło

Odpowiedzi:

198

Nieważne, właśnie znalazłem odpowiedź w tekście alternatywnym na xkcd :

xkcd838

Zastąp rootswoją nazwą użytkownika, w moim przypadku ryan, aby dziennik zawierał:

cat /var/spool/mail/ryan

— user1717828
źródło

Czy nie powinno tak być, rootchyba że jest jakiś zestaw przekazywania? Chodzi o to, aby wiadomość e-mail została wysłana do administratora. Oczywiście, po ustawieniu przekazywania możesz pobrać plik buforowania, ale możesz również użyć klienta pocztowego, takiego jak poczta, gwóźdź lub coś innego, co obsługuje czytanie z lokalnej kolejki (powiedziałbym, że jest to zwykle przypadek z wyjątkiem być może klientów GUI „importowanych” ze świata Windows).

— njsg,

Nie ma nic w /var/spool/maildystrybucjach używających systemd (Archlinux w moim przypadku). W takim przypadku możesz znaleźć ten raport w dzienniku za pomocą journalctlpolecenia. (@shellter - z powodu zamkniętego tematu - nie zgadzam się - musiałem zamieścić komentarz, nie kolejną poprawną odpowiedź)

— dmnc

@dmnc Mogę to potwierdzić, journalctlpolecenie do tego jest sudo journalctl /bin/sudo.

— simonzack

Wiem, że jest to oznaczone jako „debian”, ale przyszedłem szukać Ubuntu. Z korzyścią dla innych, którzy szukają dziennika wyjściowego Ubuntu, znalazłem awarie sudo w:/var/log/auth.log

— CJBS

Dokładniej, aby zobaczyć tylko awarie sudo w użyciu Ubuntu cat /var/log/auth.log | grep sudoers.

— akshayk07

Raport jest wysyłany jako e-mail do rootużytkownika. Wiele dystrybucji Linuksa automatycznie konfiguruje alias dla tego użytkownika, kierując pocztę na pierwsze konto utworzone podczas procesu instalacji.

— qqx
źródło