“X는 sudoers 파일에 없습니다. 이 사건은보고 될 것입니다.”철학적 / 논리적 의미?

" 사용자 이름이 sudoers 파일에 없습니다. "라는 질문과 함께 오류의 프로그래밍 측면을 설명하고 몇 가지 해결 방법을 제안한 "이 오류는 무엇을 의미합니까?

X is not in the sudoers file.  This incident will be reported.

오류의 이전 부분은 오류를 명확하게 설명합니다. 그러나 두 번째 부분은 "이 오류가보고 될 것입니다"라고 말합니다! 그런데 왜? 왜 오류가보고되고 어디에서 발생합니까? 누구에게? 나는 사용자와 관리자이며 보고서를받지 못했습니다 :)!

시스템의 관리자는 권한이없는 사용자가를 사용하여 명령을 실행하려고 시도하지만 실패한시기를 알고 싶어 할 것 sudo입니다. 이런 일이 발생하면

1. 호기심 많은 합법적 인 사용자가 방금 일을 시도하거나
2. "나쁜 일"을 시도하는 해커

그 sudo자체만으로는 이들을 구별 할 수 없기 때문에 , 실패한 사용 시도 sudo는 관리자의 관심을 끌게됩니다.

sudo시스템 구성 방법에 따라 사용 하려는 시도 (성공 여부) sudo가 기록됩니다. 성공한 시도는 감사 목적 (누가 언제 무엇을했는지 추적 할 수 있도록) 및 보안 시도에 실패한 것으로 기록됩니다.

내가 가지고있는 바닐라 우분투 설정에서 이것은 로그인되어 /var/log/auth.log있습니다.

사용자가 잘못된 암호를 세 번 제공하거나 sudoers파일에없는 경우 전자 메일이 루트로 전송됩니다 (의 구성에 따라 sudo아래 참조). 이것이 "이 사건이보고 될 것"의 의미입니다.

이메일에는 중요한 제목이 있습니다.

Subject: *** SECURITY information for thehostname ***

메시지 본문에는 로그 파일의 관련 행이 포함됩니다 (예 :

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(여기서, 사용자가 nobody실행하는 데 노력 ls을 통해 sudo루트로,하지만 그들은에없는 때문에 실패 sudoers파일).

시스템에 (로컬) 메일이 설정되어 있지 않으면 이메일이 전송되지 않습니다.

이 모든 것들도 구성 가능하며 기본 구성의 로컬 변형은 Unix 변형에 따라 다를 수 있습니다.

매뉴얼의 설정 mail_no_user및 관련 mail_*설정을 살펴보십시오 sudoers(아래 강조).

mail_no_user

설정된 경우, 호출하는 사용자가 파일에 없으면 메일이 mailto 사용자 에게 전송 sudoers됩니다. 이 플래그는 기본적으로 켜져 있습니다.

데비안과 그 파생어에서는 사용자 로그인 및 사용 된 인증 메커니즘을 포함한 시스템 인증 정보가 포함 된 sudo사건 보고서가 기록 /var/log/auth.log됩니다.

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

이 로그 파일은 일반적으로 adm그룹의 사용자, 즉 시스템 모니터링 작업에 액세스 할 수있는 사용자 만 액세스 할 수 있습니다 .

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

로부터 데비안 위키 :

그룹 adm은 시스템 모니터링 작업에 사용됩니다. 이 그룹의 구성원은 / var / log에서 많은 로그 파일을 읽을 수 있으며 xconsole을 사용할 수 있습니다. 역사적으로 / var / log는 / usr / adm (및 그 이후의 / var / adm)이므로 그룹의 이름입니다.

adm그룹의 사용자 는 일반적으로 관리자 이며이 그룹 권한은 사용자가 로그 파일을 읽을 필요가 없도록하기위한 것 su입니다.

기본적으로 sudoSyslog auth기능은 로깅에 사용 됩니다. sudo의 로깅 동작은 사용하여 수정할 수 있습니다 logfile또는 syslog에서 옵션 /etc/sudoers또는 /etc/sudoers.d:

• 이 logfile옵션은 sudo로그 파일 의 경로를 설정 합니다.
• 이 syslog옵션은 syslog(3)로깅에 사용될 때 Syslog 기능을 설정합니다 .

시스템 로그의 auth시설로 재 /var/log/auth.log에서 etc/syslog.conf다음과 같은 구성 스탠자의 존재에 의해 :

auth,authpriv.*         /var/log/auth.log

기술적으로는 별 의미가 없습니다. 다른 소프트웨어 중 많은 (모두는 아님) 로그인이 실패했거나 그렇지 않은 경우 로그에 기록됩니다. 예를 들어 sshd및 su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

또한 많은 시스템에는 과도한 인증 오류를 감지하여 무차별 대입 시도를 처리하거나 문제가 발생한 후 정보를 사용하여 이벤트를 재구성 할 수있는 자동화 기능이 있습니다.

sudo여기서 특별히 뛰어난 것은 없습니다. 모든 메시지의 의미는 작성자 sudo가 사용할 수없는 명령을 실행하는 사용자와 통신하는 데 다소 공격적인 철학을 가지고있는 것 같습니다.

단순히 누군가 sudosudoers 파일에 나열되지 않았기 때문에 명령 을 사용할 권한이없는 명령 을 사용하려고했습니다 (관리자 권한에 액세스). 이것은 해킹 시도 또는 다른 종류의 보안 위험 일 수 있으므로 사용 시도 sudo가 시스템 관리자에게보고되어 조사 할 수 있다는 메시지가 표시 됩니다.