it-swarm.com.de

Was bedeutet der Fehler "X ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet." philosophisch / logisch gemein?

Neben der Frage " Benutzername ist nicht in der sudoers-Datei enthalten. Dieser Vorfall wird gemeldet ", die die programmatischen Aspekte des Fehlers erklärte und einige Problemumgehungen vorschlug, möchte ich wissen: Was bedeutet dieser Fehler?

X is not in the sudoers file.  This incident will be reported.

Der erste Teil des Fehlers erklärt klar den Fehler. Aber der zweite Teil sagt, dass "Dieser Fehler wird gemeldet"?! Aber warum? Warum und wo wird der Fehler gemeldet? An wen? Ich bin sowohl Benutzer als auch Administrator und habe keinen Bericht erhalten :)!

31
Kasramvd

Die Administratoren eines Systems möchten wahrscheinlich wissen, wann ein nicht privilegierter Benutzer versucht, Befehle mit Sudo auszuführen, diese jedoch nicht ausführen können. Wenn dies passiert, könnte dies ein Zeichen dafür sein

  1. ein neugieriger legitimer Benutzer, der nur Dinge ausprobiert, oder
  2. ein Hacker, der versucht, "schlechte Dinge" zu tun.

Da Sudo an sich nicht zwischen diesen unterscheiden kann, werden fehlgeschlagene Versuche, Sudo zu verwenden, den Administratoren zur Kenntnis gebracht.

Abhängig davon, wie Sudo auf Ihrem System konfiguriert ist, wird jeder (erfolgreiche oder nicht erfolgreiche) Versuch, Sudo zu verwenden, protokolliert. Erfolgreiche Versuche werden zu Überwachungszwecken protokolliert (um zu verfolgen, wer was wann getan hat) und fehlgeschlagene Sicherheitsversuche.

Auf einem ziemlich Vanilla Ubuntu-Setup, das ich habe, ist dies in /var/log/auth.log Angemeldet.

Wenn ein Benutzer dreimal das falsche Passwort angibt oder sich nicht in der Datei sudoers befindet, wird eine E-Mail an root gesendet (abhängig von der Konfiguration von Sudo, siehe unten). Dies ist gemeint mit "dieser Vorfall wird gemeldet".

Die E-Mail hat einen wichtigen Betreff:

Subject: *** SECURITY information for thehostname ***

Der Nachrichtentext enthält beispielsweise die relevanten Zeilen aus der Protokolldatei

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Hier hat der Benutzer nobody versucht, ls durch Sudo als root auszuführen, ist jedoch fehlgeschlagen, da sie nicht in der Datei sudoers enthalten waren.).

Es wird keine E-Mail gesendet, wenn auf dem System keine (lokale) E-Mail eingerichtet wurde.

All diese Dinge sind auch konfigurierbar, und die lokalen Abweichungen in der Standardkonfiguration können zwischen den Unix-Varianten unterschiedlich sein.

Schauen Sie sich die Einstellung mail_no_user (Und die zugehörigen Einstellungen mail_*) Im Handbuch sudoers an (meine Betonung unten):

mail_no_user

Wenn festgelegt, wird eine E-Mail gesendet an den mailto-Benutzer, wenn sich der aufrufende Benutzer nicht in der Datei sudoers befindet. Dieses Flag ist standardmäßig aktiviert.

38
Kusalananda

In Debian und seinen Derivaten werden die Vorfallberichte Sudo in /var/log/auth.log Protokolliert, die Informationen zur Systemautorisierung enthalten, einschließlich Benutzeranmeldungen und Authentifizierungsmechanismen, die verwendet wurden:

$ Sudo su
[Sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin Sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Auf diese Protokolldatei kann normalerweise nur Benutzer in der Gruppe adm zugreifen, d. H. Benutzer mit Zugriff auf Systemüberwachungsaufgaben :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

Aus dem Debian Wiki :

Gruppenadministration wird für Systemüberwachungsaufgaben verwendet. Mitglieder dieser Gruppe können viele Protokolldateien in/var/log lesen und xconsole verwenden. In der Vergangenheit war/var/log/usr/adm (und später/var/adm), daher der Name der Gruppe.

Benutzer in der Gruppe adm sind normalerweise Administratoren , und diese Gruppenberechtigung soll es ihnen ermöglichen, Protokolldateien zu lesen, ohne su.

Standardmäßig verwendet Sudo die Syslog auth -Funktion zum Protokollieren . Das Protokollierungsverhalten von Sudo kann mit den Optionen logfile oder syslog in /etc/sudoers Oder /etc/sudoers.d Geändert werden:

  • Die Option logfile legt den Pfad zur Protokolldatei Sudo fest.
  • Die Option syslog legt die Syslog-Funktion fest, wenn syslog(3) für die Protokollierung verwendet wird.

Die Syslog auth -Funktion wird in /var/log/auth.log Durch das Vorhandensein der folgenden Konfigurationszeilengruppe zu etc/syslog.conf Umgeleitet:

auth,authpriv.*         /var/log/auth.log
15
Thomas Nyman

Technisch bedeutet es nicht viel. Viele (wenn nicht alle) andere Software-Anmeldungen sind fehlgeschlagen oder auf andere Weise. Zum Beispiel sshd und su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Außerdem verfügen viele Systeme über eine Art Automatisierung zum Erkennen übermäßiger Authentifizierungsfehler, um mögliche Brute-Force-Versuche verarbeiten zu können, oder verwenden die Informationen einfach, um Ereignisse zu rekonstruieren, nachdem Probleme aufgetreten sind.

Sudo macht hier nichts besonders Außergewöhnliches. Die Nachricht bedeutet lediglich, dass der Autor von Sudo anscheinend eine etwas aggressive Philosophie bei der Kommunikation mit Benutzern verfolgt hat, die zufällig Befehle ausführen, die sie nicht verwenden können.

7
ilkkachu

Es bedeutet einfach, dass jemand versucht hat, den Befehl Sudo zu verwenden (um auf Administratorrechte zuzugreifen), der keine Berechtigung zur Verwendung hat (weil er nicht in der sudoers-Datei aufgeführt ist). Dies kann ein Hacking-Versuch oder eine andere Art von Sicherheitsrisiko sein. In der Meldung heißt es also, dass die versuchte Verwendung von Sudo dem Systemadministrator gemeldet wird, damit dieser nachforschen kann.

6
Time4Tea