Cosa significa l'errore “X non è nel file sudoers. Questo incidente verrà segnalato. "Filosoficamente / logicamente significa?


31

Accanto alla domanda "Il nome utente non è nel file sudoers. Questo incidente verrà segnalato " che spiegava gli aspetti programmatici dell'errore e suggeriva alcune soluzioni alternative, voglio sapere: cosa significa questo errore?

X is not in the sudoers file.  This incident will be reported.

La prima parte dell'errore spiega chiaramente l'errore. Ma la seconda parte dice che "Questo errore verrà segnalato" ?! Ma perché? Perché verrà segnalato l'errore e dove? A cui? Sono sia utente che amministratore e non ho ricevuto alcun rapporto :)!


12
Filosoficamente?!? O tecnicamente?
Jeff Schaller


9
Un (buon) sistema registra silenziosamente molte cose. Un sacco di cose. Soprattutto errori. Soprattutto se li considera mal intenzionati. Penso che chiedendo "filosoficamente", OP sta chiedendo perché questo specifico errore concreto ti avverta in modo così intimidatorio riguardo alla segnalazione, mentre la maggior parte degli altri guasti vengono segnalati silenziosamente. Potrebbe essere proprio ciò che il programmatore originale ha scritto al momento, ma dopo molte versioni non è mai stato modificato e potrebbe esserci un significato più profondo. O forse no. Se questo è il punto focale, penso che questa sia un'ottima domanda che mi sono posto alcune volte.
xDaizu,

4
Questo presumibilmente risale a quando un intero edificio utilizzava 1 computer e un amministratore / operatore si occupava del computer come un lavoro a tempo pieno.
user253751

1
Anni fa, quando ero all'università e prima sudoera una cosa, stavo provando a fare qualcosa come root sulla mia scatola personale di Linux. Quindi, ho corso su. Quando ha rifiutato la mia password, ho provato più volte a pensare di aver sbagliato a digitare la mia password. Alla fine mi sono reso conto che quel terminale era collegato al server di posta elettronica della scuola. Non molto tempo dopo, il server di posta elettronica sysadmin mi ha chiesto perché avevo tentato di ottenere il root sul suo sistema. Quindi c'era chiaramente una sorta di segnalazione, anche se era nei sudogiorni precedenti.
Scott Severance,

Risposte:


38

È probabile che gli amministratori di un sistema desiderino sapere quando un utente non privilegiato prova ma non riesce a eseguire i comandi utilizzando sudo. Se ciò accade, potrebbe essere un segno di

  1. un utente legittimo curioso che sta solo provando le cose, oppure
  2. un hacker che cerca di fare "cose ​​cattive".

Poiché di sudoper sé non è in grado di distinguere tra questi, i tentativi falliti di utilizzo sudovengono portati all'attenzione degli amministratori.

A seconda di come sudoè configurato sul sistema, sudoverrà registrato qualsiasi tentativo (riuscito o meno) da utilizzare . I tentativi riusciti vengono registrati a fini di controllo (per poter tenere traccia di chi ha fatto cosa, quando) e tentativi falliti di sicurezza.

Su una configurazione Ubuntu abbastanza vaniglia che ho, questo è registrato /var/log/auth.log.

Se un utente fornisce la password errata per tre volte o se non si trova nel sudoersfile, viene inviata un'e-mail alla radice (a seconda della configurazione di sudo, vedere di seguito). Questo è ciò che si intende per "questo incidente verrà segnalato".

L'email avrà un argomento di spicco:

Subject: *** SECURITY information for thehostname ***

Il corpo del messaggio contiene le righe pertinenti dal file di registro, ad esempio

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Qui, l'utente nobodyha tentato di correre lsattraverso sudocome root, ma non è riuscito dal momento che non erano nel sudoersfile).

Nessuna e-mail viene inviata se la posta (locale) non è stata impostata sul sistema.

Tutte queste cose sono anche configurabili e che le variazioni locali nella configurazione predefinita possono differire tra le varianti Unix.

Dai un'occhiata alle mail_no_userimpostazioni (e alle relative mail_*impostazioni) nel sudoersmanuale (la mia enfasi di seguito):

mail_no_user

Se impostato, la posta verrà inviata all'utente mailto se l'utente che invoca non si trova nel sudoersfile. Questo flag è attivo per impostazione predefinita .


O, più spesso, ime 3) qualcuno che digita male du. A un datore di lavoro quando facevo ciò, mi veniva regolarmente inviato l'e-mail, con l'elenco dei destinatari, sig che indicava la sede dell'ufficio e il contenuto dell'e-mail di avviso, mentre rimbalza fuori sede. Una volta sono andato nel loro ufficio per scusarmi e li ho spaventati un po ', credo. Forse è stato che, nonostante sia un tipo rispettabile impegnato in attività mondane, a volte vado in giro per il posto in una felpa con cappuccio nera e un paio di DM come quei tipi in foto d'archivio come @Kusalananda sarà in grado di confermare.
Dannie,

15

In Debian e suoi derivati, sudovengono registrati i rapporti sugli incidenti /var/log/auth.logche contengono informazioni sull'autorizzazione del sistema, inclusi accessi utente e meccanismi di autenticazione usati:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Questo file di registro è in genere accessibile solo agli utenti del admgruppo, ovvero agli utenti con accesso alle attività di monitoraggio del sistema :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Dal wiki di Debian :

L'amministratore di gruppo viene utilizzato per le attività di monitoraggio del sistema. I membri di questo gruppo possono leggere molti file di registro in / var / log e possono usare xconsole. Storicamente, / var / log era / usr / adm (e successivamente / var / adm), quindi il nome del gruppo.

Gli utenti del admgruppo sono generalmente amministratori e questa autorizzazione del gruppo ha lo scopo di consentire loro di leggere i file di registro senza doverlo fare su.

Per impostazione predefinita sudoutilizza la authfunzione Syslog per la registrazione . sudocomportamento di registrazione 's può essere modificato con la logfileo syslogle opzioni in /etc/sudoerso /etc/sudoers.d:

  • L' logfileopzione imposta il percorso del sudofile di registro.
  • L' syslogopzione imposta la funzione Syslog quando syslog(3)viene utilizzata per la registrazione.

La authfunzione Syslog viene reindirizzata a /var/log/auth.login etc/syslog.confdalla presenza della seguente stanza di configurazione:

auth,authpriv.*         /var/log/auth.log

7

Tecnicamente, non significa molto. Molti (se non tutti) altri accessi ai log di software, falliti o meno. Ad esempio sshde su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Inoltre, molti sistemi hanno una sorta di automazione per rilevare errori di autenticazione eccessivi per essere in grado di gestire possibili tentativi di forza bruta o semplicemente utilizzare le informazioni per ricostruire gli eventi dopo la comparsa dei problemi.

sudonon fa nulla di particolarmente eccezionale qui. Tutto ciò significa che l'autore sudosembra aver adottato una filosofia un po 'aggressiva nel comunicare con gli utenti che eseguono comandi che non possono usare.


6

Significa semplicemente che qualcuno ha provato ad usare il sudocomando (per accedere ai privilegi di amministratore), che non ha l'autorizzazione per usarlo (perché non è elencato nel file sudoers). Potrebbe trattarsi di un tentativo di hacking o di qualche altro tipo di rischio per la sicurezza, quindi il messaggio dice che il tentativo di utilizzo sudoverrà segnalato all'amministratore di sistema, in modo che possano indagare.


1
Bene, nella mia macchina locale sono l'unico utente e amministratore e posso dirti che non ho ricevuto alcun rapporto!
Kasramvd,

4
@Kasramvd probabilmente l'hai fatto, in qualche file da qualche parte. Non sono esattamente sicuro di dove sudomandi il rapporto. Nella tua situazione, con un solo utente, probabilmente non è molto importante.
Time4Tea,

2
@Kasramvd hai controllato l'e-mail per l'utente root? Inoltre, sei l'amministratore ma non hai sudo per il tuo account? Come gestite l'escalation dei privilegi?
doneal24,

@Kasramvd Non ti è stato segnalato ....
Thorbjørn Ravn Andersen,

1
@Kasramvd PENSI di essere l'amministratore. Il sistema operativo ti sta chiaramente dicendo che non hai il permesso di agire come amministratore - sei il proprietario dell'hardware nella migliore delle ipotesi, ma ciò non ti rende necessariamente un amministratore
slebetman,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.