Tentare qualcosa di subdolo sulla mia macchina porta a
ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan:
ryan is not in the sudoers file. This incident will be reported.
Dove viene segnalato questo incidente e come posso ottenere il registro di tutti i cattivi comandi tentati?
Risposte:
Non importa, ho appena trovato la risposta nel testo alternativo di xkcd :
Sostituisci rootcon il tuo nome utente, nel mio caso ryan, quindi il registro si trova con:
cat /var/spool/mail/ryan
/var/spool/maildistribuzioni usando systemd (nel mio caso Archlinux). In questo caso, puoi trovare quel rapporto nel diario usando il journalctlcomando. (@shellter - a causa di argomento chiuso - non sono d'accordo - ho dovuto pubblicare un commento, non un'altra risposta valida)
journalctlcomando per questo è sudo journalctl /bin/sudo.
/var/log/auth.log
cat /var/log/auth.log | grep sudoers.
rootmeno che non ci sia un set di spedizioni? L'intero punto dovrebbe essere che l'e-mail viene inviata all'amministratore. Inoltre, una volta impostato un inoltro, è possibile eseguire il cat del file di spool, ma è anche possibile utilizzare alcuni client di posta, come mail, nail o qualcos'altro che supporti la lettura dallo spool locale (direi che di solito è il caso tranne forse per i client della GUI "importati" dal mondo Windows).