À qui les incidents sont-ils vraiment signalés et comment un utilisateur sudo peut-il accéder aux rapports?

32

Lorsque mon compte non sudo essaie d'exécuter une commande sudo:

nonsudo@Hairy14:$ sudo hello

Un incident est signalé:

[sudo] password for nonsudo: 
nonsudo is not in the sudoers file.  This incident will be reported.

Je suppose que ce n'est pas vraiment le Père Noël, alors à qui est-il rapporté (ou où) et comment puis-je y accéder?

Incident

(De xkcd , par Randall Munroe)

Tim
la source
Pour info cette invite a été ajoutée en 1993 :-)
phil294

Réponses:

24

Le titre de l'image pourrait nous donner un indice:

Il vous voit quand vous dormez, il sait quand vous êtes éveillé, il est copié /var/spool/mail/root, alors soyez bon pour l'amour de Dieu.

Que /var/spool/mail/rootcontient-il? Euh, pour moi rien en tant qu'utilisateur normal:

cat: /var/spool/mail/root: No such file or directory

Et la même chose avec sudo. Pour moi, il n'y a pas/var/spool/mail/root


Il s'avère que Ubuntu est différent - par défaut, le courrier de root est envoyé à /dev/null, ou le trou noir de votre ordinateur.

Pour trouver nos journaux, nous devons chercher dans

/var/log/auth.log

Et voilà, a sudo catnous donne cette ligne:

Jun 25 22:45:07 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Notez que parfois (par exemple, si votre compte n'a pas de mot de passe, est désactivé), il ne vous laissera tout simplement pas exécuter la commande - mais il sera toujours signalé de la même manière:

Jun 25 22:44:17 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Notez qu'il y a beaucoup d'autres textes avec les rapports "coquins". Vous devrez peut-être grep.

Mes pronoms sont He / Him

Tim
la source
3
Ce n'est pas qu'Ubuntu est spécial, mais ce courrier n'est tout simplement pas configuré. L'une des premières choses que je fais lorsque j'installe un serveur est de configurer sudopour démarrer le mailing ( mail_badpassest l'option, IIRC), et de configurer le courrier de root pour accéder à la liste de diffusion des administrateurs.
muru
@muru oui, j'ai édité pour expliquer la différence.
Tim
@Tim existe-t-il un moyen de transférer le courrier /dev/nullvers un domaine réel (Gmail ou similaire)?
Jarwin