Apa kesalahannya “X tidak ada dalam file sudoers. Kejadian ini akan dilaporkan. "Artinya secara filosofis / logis?


31

Bersamaan dengan pertanyaan " Nama pengguna tidak ada dalam file sudoers. Kejadian ini akan dilaporkan " yang menjelaskan aspek program kesalahan dan menyarankan beberapa solusi, saya ingin tahu: apa arti kesalahan ini?

X is not in the sudoers file.  This incident will be reported.

Bagian mantan kesalahan menjelaskan, dengan jelas, kesalahan. Tetapi bagian kedua mengatakan bahwa "Kesalahan ini akan dilaporkan" ?! Tapi kenapa? Mengapa kesalahan akan dilaporkan dan di mana? Kepada siapa? Saya pengguna sekaligus administrator dan tidak menerima laporan apa pun :)!


12
Secara filosofis?!? Atau secara teknis?
Jeff Schaller


9
Sistem (baik) secara diam-diam mencatat banyak hal. Banyak dan banyak hal. Terutama kesalahan. Apalagi jika menganggap mereka sebagai niat buruk. Saya pikir dengan bertanya tentang "secara filosofis", OP bertanya mengapa kesalahan spesifik ini memperingatkan Anda dengan cara yang mengintimidasi tentang pelaporan, sementara sebagian besar kegagalan lainnya dilaporkan secara diam-diam. Mungkin saja apa yang ditulis oleh pembuat kode asli saat ini, tetapi setelah banyak versi tidak pernah berubah dan mungkin ada makna yang lebih dalam. Atau mungkin tidak. Jika ini fokusnya, saya pikir ini adalah pertanyaan hebat yang saya tanyakan beberapa kali.
xDaizu

4
Ini mungkin tanggal kembali ke ketika Anda memiliki seluruh bangunan menggunakan 1 komputer dan admin / operator merawat komputer sebagai pekerjaan penuh waktu.
user253751

1
Bertahun-tahun yang lalu ketika saya masih di universitas dan sebelumnya sudoadalah suatu hal, saya mencoba melakukan sesuatu sebagai root pada kotak Linux pribadi saya. Jadi saya lari su. Ketika menolak kata sandi saya, saya mencoba lagi beberapa kali berpikir saya salah mengetik kata sandi. Akhirnya saya menyadari bahwa terminal itu masuk ke server email sekolah. Tidak lama setelah itu, server email sysadmin bertanya kepada saya mengapa saya mencoba melakukan root pada sistemnya. Jadi jelas ada semacam pelaporan meskipun pada masa pra- sudohari.
Scott Severance

Jawaban:


38

Administrator sistem cenderung ingin tahu kapan pengguna yang tidak memiliki hak istimewa mencoba tetapi gagal untuk mengeksekusi perintah menggunakan sudo. Jika ini terjadi, itu bisa menjadi pertanda

  1. pengguna sah yang penasaran hanya mencoba berbagai hal, atau
  2. seorang hacker mencoba melakukan "hal-hal buruk".

Karena sudodengan sendirinya tidak dapat membedakan antara ini, upaya gagal untuk digunakan sudodibawa ke perhatian admin.

Bergantung pada bagaimana sudodikonfigurasi pada sistem Anda, segala upaya (berhasil atau tidak) untuk digunakan sudoakan dicatat. Upaya yang berhasil dicatat untuk tujuan audit (untuk dapat melacak siapa yang melakukan apa kapan), dan upaya keamanan yang gagal.

Pada pengaturan Ubuntu vanilla yang saya miliki, ini masuk /var/log/auth.log.

Jika pengguna memberikan kata sandi yang salah tiga kali, atau jika tidak ada dalam sudoersfile, email dikirim ke root (tergantung pada konfigurasi sudo, lihat di bawah). Inilah yang dimaksud dengan "kejadian ini akan dilaporkan".

Email akan memiliki subjek yang menonjol:

Subject: *** SECURITY information for thehostname ***

Badan pesan berisi baris yang relevan dari logfile, misalnya

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Di sini, pengguna nobodymencoba untuk menjalankan lsmelalui sudosebagai root, namun gagal karena mereka tidak berada di sudoersfile).

Tidak ada email yang dikirim jika surat (lokal) belum diatur pada sistem.

Semua hal ini dapat dikonfigurasi juga, dan bahwa variasi lokal dalam konfigurasi default dapat berbeda antara varian Unix.

Lihat mail_no_userpengaturan (dan mail_*pengaturan terkait ) di sudoersmanual (penekanan saya di bawah):

mail_no_user

Jika diatur, email akan dikirim ke pengguna mailto jika pengguna yang meminta tidak ada dalam sudoersfile. Bendera ini aktif secara default .


Atau, lebih sering, sampai 3) seseorang salah ketik Di satu perusahaan ketika saya melakukan ini, saya biasa mendapatkan email yang dikirim kembali kepada saya, dengan daftar penerima, sig menunjukkan lokasi kantor, dan isi email peringatan, saat memantul di luar kantor. Saya pernah pergi ke kantor mereka untuk meminta maaf dan sedikit menakutkan mereka, saya pikir. Mungkin itu adalah, meskipun menjadi orang yang memiliki reputasi baik yang terlibat dalam kegiatan duniawi, saya kadang-kadang pergi berkeliling dengan mengenakan hoodie hitam dan sepasang DM seperti orang-orang di foto stok karena @Kusalananda akan dapat mengonfirmasi.
Dannie

15

Dalam Debian dan turunannya, sudolaporan insiden dicatat dengan /var/log/auth.logberisi informasi otorisasi sistem, termasuk login pengguna dan mekanisme otentikasi yang digunakan:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

File log ini biasanya hanya dapat diakses oleh pengguna dalam admgrup, yaitu pengguna dengan akses ke tugas pemantauan sistem :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Dari Wiki Debian :

Admin grup digunakan untuk tugas pemantauan sistem. Anggota grup ini dapat membaca banyak file log di / var / log, dan dapat menggunakan xconsole. Secara historis, / var / log adalah / usr / adm (dan kemudian / var / adm), dengan demikian nama grup.

Pengguna dalam admgrup biasanya adalah administrator , dan izin grup ini dimaksudkan untuk memungkinkan mereka membaca file log tanpa harus melakukannya su.

Secara default sudomenggunakan authfasilitas Syslog untuk logging . sudoperilaku logging 's dapat dimodifikasi dengan menggunakan logfileatau syslogpilihan dalam /etc/sudoersatau /etc/sudoers.d:

  • The logfilepilihan set path ke sudofile log.
  • The syslogpilihan menetapkan fasilitas Syslog ketika syslog(3)sedang digunakan untuk penebangan.

The Syslog authfasilitas diarahkan ke /var/log/auth.logdalam etc/syslog.confdengan kehadiran bait konfigurasi berikut:

auth,authpriv.*         /var/log/auth.log

7

Secara teknis, itu tidak berarti banyak. Banyak (jika tidak semua) perangkat lunak lain login, gagal atau sebaliknya. Sebagai contoh sshddan su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Juga, banyak sistem memiliki semacam otomatisasi untuk mendeteksi kesalahan otentikasi yang berlebihan untuk dapat mengatasi kemungkinan upaya kekerasan, atau hanya menggunakan informasi untuk merekonstruksi peristiwa setelah masalah muncul.

sudotidak melakukan sesuatu yang luar biasa di sini. Semua pesan yang dimaksud adalah bahwa penulis sudotampaknya telah mengambil filosofi yang agak agresif dalam berkomunikasi dengan pengguna yang kebetulan menjalankan perintah yang tidak dapat mereka gunakan.


6

Ini berarti bahwa seseorang mencoba menggunakan sudoperintah (untuk mengakses hak istimewa admin), yang tidak memiliki izin untuk menggunakannya (karena mereka tidak tercantum dalam file sudoers). Ini bisa berupa upaya peretasan atau semacam risiko keamanan lainnya, jadi pesannya mengatakan bahwa upaya penggunaan sudoakan dilaporkan ke administrator sistem, sehingga mereka dapat menyelidikinya.


1
Baik di mesin lokal saya, saya adalah satu-satunya pengguna dan administrator dan saya dapat memberi tahu Anda bahwa saya tidak menerima laporan apa pun!
Kasramvd

4
@ Kalramvd mungkin Anda lakukan, di beberapa file di suatu tempat. Saya tidak yakin ke mana harus sudomengirim laporan. Dalam situasi Anda, dengan hanya satu pengguna, itu mungkin tidak terlalu penting.
Time4Tea

2
@ Kalramvd sudahkah Anda memeriksa email ke pengguna root? Juga, Anda adalah administrator tetapi Anda tidak memiliki sudo untuk akun Anda? Bagaimana Anda menangani eskalasi hak istimewa?
selesai24

@Kasramvd Tidak dilaporkan kepada Anda ....
Thorbjørn Ravn Andersen

1
@ Kalramvd Anda BERPIKIR Anda adalah administrator. OS dengan jelas memberi tahu Anda bahwa Anda tidak memiliki izin untuk bertindak sebagai administrator - Anda adalah pemilik perangkat keras yang terbaik tetapi itu tidak selalu membuat Anda menjadi admin
slebetman
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.