“X는 sudoers 파일에 없습니다. 이 사건은보고 될 것입니다.”철학적 / 논리적 의미?


31

" 사용자 이름이 sudoers 파일에 없습니다. "라는 질문과 함께 오류의 프로그래밍 측면을 설명하고 몇 가지 해결 방법을 제안한 "이 오류는 무엇을 의미합니까?

X is not in the sudoers file.  This incident will be reported.

오류의 이전 부분은 오류를 명확하게 설명합니다. 그러나 두 번째 부분은 "이 오류가보고 될 것입니다"라고 말합니다! 그런데 왜? 왜 오류가보고되고 어디에서 발생합니까? 누구에게? 나는 사용자와 관리자이며 보고서를받지 못했습니다 :)!


12
철학적으로?!? 아니면 기술적으로?
Jeff Schaller


9
(좋은) 시스템은 많은 것들을 자동으로 기록합니다. 많은 것들. 특히 오류. 특히 그들이 의도가 나쁜 것으로 간주되는 경우. OP는 "철학적"에 대해 질문함으로써이 구체적인 오류가보고에 대해 겁나게 경고하는 이유를 묻고 있지만 대부분의 다른 오류는 조용히보고됩니다. 원래의 코더가 현재 작성한 것 일 수도 있지만 많은 버전 후에도 변경되지 않았으며 더 깊은 의미가있을 수 있습니다. 아니면 아닐 수도 있습니다. 이것이 초점이라면, 나는 이것이 몇 번이나 궁금했던 훌륭한 질문이라고 생각합니다.
xDaizu

4
이것은 아마도 컴퓨터 한 대를 사용하여 건물 전체가 있고 관리자 / 운영자가 컴퓨터를 정규직으로 돌봤을 때로 거슬러 올라갑니다.
user253751 2018 년

1
몇 년 전 대학에 있었을 때와 전에는 sudo개인적인 Linux 상자에서 루트로 뭔가를하려고했습니다. 그래서 나는 달렸다 su. 비밀번호를 거부하면 비밀번호를 잘못 입력했다고 생각하여 여러 번 다시 시도했습니다. 결국 나는 그 터미널이 학교의 이메일 서버에 로그인되어 있다는 것을 깨달았습니다. 얼마 지나지 않아 이메일 서버 sysadmin이 왜 자신의 시스템에서 루트를 얻으려고했는지 물었습니다. 예전에는 있었지만 분명히 어떤 종류의보고가있었습니다 sudo.
Scott Severance

답변:


38

시스템의 관리자는 권한이없는 사용자가를 사용하여 명령을 실행하려고 시도하지만 실패한시기를 알고 싶어 할 것 sudo입니다. 이런 일이 발생하면

  1. 호기심 많은 합법적 인 사용자가 방금 일을 시도하거나
  2. "나쁜 일"을 시도하는 해커

sudo자체만으로는 이들을 구별 할 수 없기 때문에 , 실패한 사용 시도 sudo는 관리자의 관심을 끌게됩니다.

sudo시스템 구성 방법에 따라 사용 하려는 시도 (성공 여부) sudo가 기록됩니다. 성공한 시도는 감사 목적 (누가 언제 무엇을했는지 추적 할 수 있도록) 및 보안 시도에 실패한 것으로 기록됩니다.

내가 가지고있는 바닐라 우분투 설정에서 이것은 로그인되어 /var/log/auth.log있습니다.

사용자가 잘못된 암호를 세 번 제공하거나 sudoers파일에없는 경우 전자 메일이 루트로 전송됩니다 (의 구성에 따라 sudo아래 참조). 이것이 "이 사건이보고 될 것"의 의미입니다.

이메일에는 중요한 제목이 있습니다.

Subject: *** SECURITY information for thehostname ***

메시지 본문에는 로그 파일의 관련 행이 포함됩니다 (예 :

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(여기서, 사용자가 nobody실행하는 데 노력 ls을 통해 sudo루트로,하지만 그들은에없는 때문에 실패 sudoers파일).

시스템에 (로컬) 메일이 설정되어 있지 않으면 이메일이 전송되지 않습니다.

이 모든 것들도 구성 가능하며 기본 구성의 로컬 변형은 Unix 변형에 따라 다를 수 있습니다.

매뉴얼의 설정 mail_no_user및 관련 mail_*설정을 살펴보십시오 sudoers(아래 강조).

mail_no_user

설정된 경우, 호출하는 사용자가 파일에 없으면 메일이 mailto 사용자 에게 전송 sudoers됩니다. 이 플래그는 기본적으로 켜져 있습니다.


또는 더 자주, ime 3) 누군가가 뒤죽박죽. 내가 한 고용주에서 나는 정기적으로 이메일을받는 사람 목록, 사무실 위치를 나타내는 sig 및 경고 이메일 내용을 사무실 밖 바운스로 다시 보내왔다. 나는 한때 사과를하기 위해 그들의 사무실로 갔다. 어쩌면 평범한 활동에 종사하는 평판 좋은 동료 임에도 불구하고 때로는 검은 까마귀와 @Kusalananda가 확인할 수있는 재고 사진의 챕 스와 같은 DM 쌍을 사용합니다.
Dannie

15

데비안과 그 파생어에서는 사용자 로그인 및 사용 된 인증 메커니즘을 포함한 시스템 인증 정보가 포함 된 sudo사건 보고서가 기록 /var/log/auth.log됩니다.

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

이 로그 파일은 일반적으로 adm그룹의 사용자, 즉 시스템 모니터링 작업에 액세스 할 수있는 사용자 만 액세스 할 수 있습니다 .

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

로부터 데비안 위키 :

그룹 adm은 시스템 모니터링 작업에 사용됩니다. 이 그룹의 구성원은 / var / log에서 많은 로그 파일을 읽을 수 있으며 xconsole을 사용할 수 있습니다. 역사적으로 / var / log는 / usr / adm (및 그 이후의 / var / adm)이므로 그룹의 이름입니다.

adm그룹의 사용자 는 일반적으로 관리자 이며이 그룹 권한은 사용자가 로그 파일을 읽을 필요가 없도록하기위한 것 su입니다.

기본적으로 sudoSyslog auth기능은 로깅에 사용 됩니다. sudo의 로깅 동작은 사용하여 수정할 수 있습니다 logfile또는 syslog에서 옵션 /etc/sudoers또는 /etc/sudoers.d:

  • logfile옵션은 sudo로그 파일 의 경로를 설정 합니다.
  • syslog옵션은 syslog(3)로깅에 사용될 때 Syslog 기능을 설정합니다 .

시스템 로그의 auth시설로 재 /var/log/auth.log에서 etc/syslog.conf다음과 같은 구성 스탠자의 존재에 의해 :

auth,authpriv.*         /var/log/auth.log

7

기술적으로는 별 의미가 없습니다. 다른 소프트웨어 중 많은 (모두는 아님) 로그인이 실패했거나 그렇지 않은 경우 로그에 기록됩니다. 예를 들어 sshdsu:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

또한 많은 시스템에는 과도한 인증 오류를 감지하여 무차별 대입 시도를 처리하거나 문제가 발생한 후 정보를 사용하여 이벤트를 재구성 할 수있는 자동화 기능이 있습니다.

sudo여기서 특별히 뛰어난 것은 없습니다. 모든 메시지의 의미는 작성자 sudo가 사용할 수없는 명령을 실행하는 사용자와 통신하는 데 다소 공격적인 철학을 가지고있는 것 같습니다.


6

단순히 누군가 sudosudoers 파일에 나열되지 않았기 때문에 명령 을 사용할 권한이없는 명령 을 사용하려고했습니다 (관리자 권한에 액세스). 이것은 해킹 시도 또는 다른 종류의 보안 위험 일 수 있으므로 사용 시도 sudo가 시스템 관리자에게보고되어 조사 할 수 있다는 메시지가 표시 됩니다.


1
내 로컬 컴퓨터에서 나는 유일한 사용자 및 관리자이며 어떤 보고서도받지 못했다고 말할 수 있습니다!
Kasramvd

4
@ Kasramvd 어쩌면 당신은 어딘가에 어떤 파일에서했을 것입니다. 어디 sudo에서 보고서를 보낼지 잘 모르겠습니다 . 사용자가 한 명인 상황에서는 그다지 중요하지 않을 수 있습니다.
Time4Tea

2
@Kasramvd 당신은 루트 사용자에게 이메일을 확인 했습니까? 또한 관리자는 있지만 계정에 대한 sudo가 없습니까? 권한 에스컬레이션을 어떻게 처리합니까?
doneal24

@Kasramvd 그것은 당신에게보고되지 않았습니다 ....
Thorbjørn Ravn Andersen

1
@Kasramvd 당신은 관리자라고 생각합니다. OS는 관리자 역할을 수행 할 권한이 없음을 명확하게 알려줍니다. 하드웨어 소유자는 아니지만 관리자 일 필요는 없습니다.
slebetman
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.