Di mana insiden sudo dilaporkan? [Tutup]

130

Mencoba sesuatu yang licik pada mesin saya mengarah ke

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

Di mana insiden ini dilaporkan, dan bagaimana cara mendapatkan log dari semua perintah upaya jahat?

— pengguna1717828
sumber

Jawaban:

191

Nevermind, saya baru saja menemukan jawabannya di alt-text di xkcd :

xkcd838

Ganti rootdengan nama pengguna Anda, dalam kasus saya ryan, jadi log ditemukan dengan:

cat /var/spool/mail/ryan

— pengguna1717828
sumber

Haruskah itu terjadi rootkecuali ada set forwarding? Intinya adalah bahwa email tersebut dikirim ke administrator. Juga, tentu saja, setelah beberapa penerusan diatur, Anda dapat menyimpan file spool, tetapi Anda juga dapat menggunakan beberapa klien email, seperti mail, nail, atau sesuatu yang mendukung membaca dari spool lokal (saya akan mengatakan bahwa ini biasanya kasing kecuali mungkin untuk klien GUI "diimpor" dari dunia Windows).

— njsg

Tidak ada apa-apa di /var/spool/maildalam distribusi menggunakan systemd (Archlinux dalam kasus saya). Dalam hal ini, Anda dapat menemukan laporan itu di jurnal dengan menggunakan journalctlperintah. (@shellter - karena topik tertutup - tidak setuju - Saya harus mengirim komentar, bukan jawaban yang valid)

— dmnc

@ dmnc Saya dapat mengkonfirmasi ini, journalctlperintah untuk ini adalah sudo journalctl /bin/sudo.

— simonzack

Saya tahu ini ditandai 'debian', tapi saya datang mencari Ubuntu. Jadi untuk kepentingan orang lain yang mencari log keluaran Ubuntu, saya menemukan kegagalan sudo di:/var/log/auth.log

— CJBS

Lebih khusus lagi, untuk hanya melihat kegagalan sudo dalam penggunaan Ubuntu cat /var/log/auth.log | grep sudoers.

— akshayk07

Laporan dikirim sebagai email ke rootpengguna. Banyak distribusi Linux akan secara otomatis membuat alias untuk pengguna yang mengarahkan email ke akun pertama yang dibuat selama proses instalasi.

— qqx
sumber