Di mana insiden sudo dicatat?


29

Ketika seseorang tidak berada dalam grup sudoers dan mencoba menggunakan sudo, dapatkan pesan kesalahan seperti ini:

yzT is not in the sudoers file. This incident will be reported.

Saya mencoba mencari tahu di mana log informasi ini dicatat, untuk memeriksa siapa yang mencoba menjalankan perintah dengan sudo misalnya, tetapi tidak dapat menemukannya.

Pencarian Google pertama mengatakan /var/log/syslogtetapi saya tidak melihat informasi yang terkait dengan sudo di sana.



Jawaban:


41

Pada sistem linux berbasis redhat seperti centos atau fedora ada di:

  /var/log/secure

dan untuk sistem berbasis debian seperti ubuntu, ia ada di:

  /var/log/auth.log

1
Tetapi bagaimana saya bisa mengetahuinya sendiri tanpa googling?
Turkhan Badalov

1
Mudah! Baca kode sumber.
LadyCailin

cat /var/log/auth.log | grep '3 upaya kata sandi salah'
dedunumax

3

Sudahlah, ada di /var/log/auth.log.


Pemberitahuan juga harus diemail ke root secara default, meskipun itu dapat dikonfigurasi.
depquid

3

di Fedora ada di /var/log/audit/audit.log


1
itu tergantung pada file / etc / sudoers, Anda harus mencari catatan ini: Default file log = / var / log / file_name
Shahram Pezeshki
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.