Apa kesalahannya “X tidak ada dalam file sudoers. Kejadian ini akan dilaporkan. "Artinya secara filosofis / logis?

Bersamaan dengan pertanyaan " Nama pengguna tidak ada dalam file sudoers. Kejadian ini akan dilaporkan " yang menjelaskan aspek program kesalahan dan menyarankan beberapa solusi, saya ingin tahu: apa arti kesalahan ini?

X is not in the sudoers file.  This incident will be reported.

Bagian mantan kesalahan menjelaskan, dengan jelas, kesalahan. Tetapi bagian kedua mengatakan bahwa "Kesalahan ini akan dilaporkan" ?! Tapi kenapa? Mengapa kesalahan akan dilaporkan dan di mana? Kepada siapa? Saya pengguna sekaligus administrator dan tidak menerima laporan apa pun :)!

Administrator sistem cenderung ingin tahu kapan pengguna yang tidak memiliki hak istimewa mencoba tetapi gagal untuk mengeksekusi perintah menggunakan sudo. Jika ini terjadi, itu bisa menjadi pertanda

1. pengguna sah yang penasaran hanya mencoba berbagai hal, atau
2. seorang hacker mencoba melakukan "hal-hal buruk".

Karena sudodengan sendirinya tidak dapat membedakan antara ini, upaya gagal untuk digunakan sudodibawa ke perhatian admin.

Bergantung pada bagaimana sudodikonfigurasi pada sistem Anda, segala upaya (berhasil atau tidak) untuk digunakan sudoakan dicatat. Upaya yang berhasil dicatat untuk tujuan audit (untuk dapat melacak siapa yang melakukan apa kapan), dan upaya keamanan yang gagal.

Pada pengaturan Ubuntu vanilla yang saya miliki, ini masuk /var/log/auth.log.

Jika pengguna memberikan kata sandi yang salah tiga kali, atau jika tidak ada dalam sudoersfile, email dikirim ke root (tergantung pada konfigurasi sudo, lihat di bawah). Inilah yang dimaksud dengan "kejadian ini akan dilaporkan".

Email akan memiliki subjek yang menonjol:

Subject: *** SECURITY information for thehostname ***

Badan pesan berisi baris yang relevan dari logfile, misalnya

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Di sini, pengguna nobodymencoba untuk menjalankan lsmelalui sudosebagai root, namun gagal karena mereka tidak berada di sudoersfile).

Tidak ada email yang dikirim jika surat (lokal) belum diatur pada sistem.

Semua hal ini dapat dikonfigurasi juga, dan bahwa variasi lokal dalam konfigurasi default dapat berbeda antara varian Unix.

Lihat mail_no_userpengaturan (dan mail_*pengaturan terkait ) di sudoersmanual (penekanan saya di bawah):

mail_no_user

Jika diatur, email akan dikirim ke pengguna mailto jika pengguna yang meminta tidak ada dalam sudoersfile. Bendera ini aktif secara default .

Dalam Debian dan turunannya, sudolaporan insiden dicatat dengan /var/log/auth.logberisi informasi otorisasi sistem, termasuk login pengguna dan mekanisme otentikasi yang digunakan:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

File log ini biasanya hanya dapat diakses oleh pengguna dalam admgrup, yaitu pengguna dengan akses ke tugas pemantauan sistem :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Dari Wiki Debian :

Admin grup digunakan untuk tugas pemantauan sistem. Anggota grup ini dapat membaca banyak file log di / var / log, dan dapat menggunakan xconsole. Secara historis, / var / log adalah / usr / adm (dan kemudian / var / adm), dengan demikian nama grup.

Pengguna dalam admgrup biasanya adalah administrator , dan izin grup ini dimaksudkan untuk memungkinkan mereka membaca file log tanpa harus melakukannya su.

Secara default sudomenggunakan authfasilitas Syslog untuk logging . sudoperilaku logging 's dapat dimodifikasi dengan menggunakan logfileatau syslogpilihan dalam /etc/sudoersatau /etc/sudoers.d:

• The logfilepilihan set path ke sudofile log.
• The syslogpilihan menetapkan fasilitas Syslog ketika syslog(3)sedang digunakan untuk penebangan.

The Syslog authfasilitas diarahkan ke /var/log/auth.logdalam etc/syslog.confdengan kehadiran bait konfigurasi berikut:

auth,authpriv.*         /var/log/auth.log

Secara teknis, itu tidak berarti banyak. Banyak (jika tidak semua) perangkat lunak lain login, gagal atau sebaliknya. Sebagai contoh sshddan su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Juga, banyak sistem memiliki semacam otomatisasi untuk mendeteksi kesalahan otentikasi yang berlebihan untuk dapat mengatasi kemungkinan upaya kekerasan, atau hanya menggunakan informasi untuk merekonstruksi peristiwa setelah masalah muncul.

sudotidak melakukan sesuatu yang luar biasa di sini. Semua pesan yang dimaksud adalah bahwa penulis sudotampaknya telah mengambil filosofi yang agak agresif dalam berkomunikasi dengan pengguna yang kebetulan menjalankan perintah yang tidak dapat mereka gunakan.

Ini berarti bahwa seseorang mencoba menggunakan sudoperintah (untuk mengakses hak istimewa admin), yang tidak memiliki izin untuk menggunakannya (karena mereka tidak tercantum dalam file sudoers). Ini bisa berupa upaya peretasan atau semacam risiko keamanan lainnya, jadi pesannya mengatakan bahwa upaya penggunaan sudoakan dilaporkan ke administrator sistem, sehingga mereka dapat menyelidikinya.