66 votes

Tim avatar

À qui les incidents sont-ils réellement rapportés, et comment un utilisateur sudo peut-il accéder aux rapports ?

Demandé el 26 de Juin, 2015
Quand la question a-t-elle été
41062 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quand mon compte non-sudo essaie d'exécuter une commande sudo :

nonsudo@Hairy14:$ sudo hello

Un incident est signalé :

[sudo] password for nonsudo: 
nonsudo is not in the sudoers file.  This incident will be reported.

Je suppose que ce n'est pas vraiment le Père Noël, alors à qui est-il rapporté (ou où) et comment puis-je y accéder ?

Incident

(De xkcd par Randall Munroe)

Demandé el 26 de Juin, 2015 par Tim

Réponses

Trop de publicités?

52voto

Tim avatar
Tim Points 30349

Le titre de l'image peut nous donner un indice :

Il vous voit quand vous dormez, il sait quand vous êtes éveillé, il copie sur /var/spool/mail/root alors soyez bon, pour l'amour du ciel.

Qu'est-ce que /var/spool/mail/root contiennent ? Uhh, pour moi rien en tant qu'utilisateur normal :

cat: /var/spool/mail/root: No such file or directory

Et la même chose avec sudo . Pour moi, il n'y a pas /var/spool/mail/root

Il s'avère qu'Ubuntu est différent - par défaut, le courrier de l'utilisateur root est envoyé à l'adresse suivante /dev/null ou le trou noir de votre ordinateur.

Pour trouver nos journaux, nous devons regarder dans

/var/log/auth.log

Et voilà qu'un sudo cat nous donne cette ligne :

Jun 25 22:45:07 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Notez que parfois (par exemple, si votre compte n'a pas de mot de passe ou est désactivé), il ne vous laissera tout simplement pas exécuter la commande - mais elle sera tout de même signalée de la même manière :

Jun 25 22:44:17 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Notez qu'il existe un beaucoup d'autres textes avec les rapports "coquins". Vous devrez peut-être faire un grep.

Répondu el 26 de Juin, 2015 par Tim (30349 Points )

1voto

Akbarkhon Variskhanov avatar
Akbarkhon Variskhanov Points 115

La méthode journalctl

Une méthode consiste à regarder à travers le journalctl sortie. journalctl /usr/bin/sudo listera tous les messages liés à ce chemin d'accès spécifique à l'exécutable, et l'incident signalé sera mis en évidence dans une couleur rouge agréable et perceptible comme suit :

journalctl -f /usr/bin/sudo n'affichera que les entrées les plus récentes du journal, et imprimera continuellement les nouvelles entrées au fur et à mesure qu'elles sont ajoutées au journal. Cette fonction n'est utile que si l'incident signalé s'est produit récemment.

Journaux de bord de GNOME

Une autre façon de trouver de tels incidents est d'utiliser l'application Logs, qui est installée par défaut sur les versions récentes d'Ubuntu. Un court screencast montre comment on peut le faire via GNOME Logs : https://webm.red/view/yc0w.webm

  1. ouvrir l'application ;
  2. sélectionnez "Tout" dans la liste des catégories sur le côté gauche ;
  3. invoque la barre de recherche et
  4. il suffit de taper "sudo".

Il n'a pas la mise en évidence de journalctl, cependant.

Répondu el 2 de Octobre, 2021 par Akbarkhon Variskhanov (115 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X