Dove vengono registrati gli incidenti sudo?

29

Quando qualcuno non fa parte del gruppo sudoers e prova a usare sudo, ricevi un messaggio di errore come questo:

yzT is not in the sudoers file. This incident will be reported.

Sto cercando di capire in quale registro sono registrate queste informazioni, per verificare chi ha provato ad eseguire un comando con sudo per esempio, ma non riesco a trovarlo.

La prima ricerca di Google dice /var/log/syslogma non vedo alcuna informazione relativa a sudo lì.

logs  sudo 
eez0
fonte
20
È registrato in remoto: xkcd.com/838
depquid
1
Nikolas,

Risposte:

41

Su sistemi Linux basati su Redhat come Centos o Fedora è in:

  /var/log/secure

e per sistemi basati su Debian come Ubuntu è in:

  /var/log/auth.log
Hojat Taheri
fonte
1
Ma come posso conoscerlo da solo senza cercarlo su Google?
Turkhan Badalov,
1
Facile! Leggi il codice sorgente.
LadyCailin,
cat /var/log/auth.log | grep "3 tentativi di password errati"
dedunumax
3

Non importa, è dentro /var/log/auth.log.

eez0
fonte
Le notifiche dovrebbero anche essere inviate via e-mail a root per impostazione predefinita, sebbene sia configurabile.
depquid
3

in Fedora è in /var/log/audit/audit.log

Shahram Pezeshki
fonte
1
dipende dal file / etc / sudoers, dovresti cercare questo record: File di registro predefinito = / var / log / nome_file
Shahram Pezeshki
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.