sudoインシデントはどこに報告されますか?[閉まっている]


130

私のマシンで悪質なものを試みると、

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

このインシデントはどこに報告され、どのようにして悪意のあるコマンドのログを取得できますか?

回答:


191

気にしないで、私はxkcdの alt-textで答えを見つけました:

xkcd838

root私の場合ryanはユーザー名に置き換えてください。ログは次のように見つかります。

cat /var/spool/mail/ryan

6
root転送セットがなければそれはありませんか?重要なのは、電子メールが管理者に送信されることです。また、転送が設定されたら、スプールファイルをcatできますが、mail、nailなど、ローカルスプールからの読み取りをサポートするメールクライアントを使用することもできます(通常、これは通常、おそらくWindowsの世界から「インポートされた」GUIクライアントを除いて)。
njsg 2013年

13
/var/spool/mailsystemd(私の場合、Archlinux)を使用するディストリビューションには何もありません。この場合、journalctlコマンドを使用してジャーナルでそのレポートを見つけることができます。(@shellter-クローズドトピックのため-同意しない-別の有効な回答ではなく、コメントを投稿する必要がありました)
dmnc

1
@dmnc私はこれを確認できます。このためのjournalctlコマンドはsudo journalctl /bin/sudoです。
simonzack 2014年

16
これは「debian」というタグが付いていることは知っていますが、Ubuntuを探しに来ました。:だから、Ubuntuの出力ログを探している他人の利益のために、私はにsudoの障害を発見した/var/log/auth.log
CJBS

具体的には、Ubuntuでsudoの失敗のみを確認するには、を使用しますcat /var/log/auth.log | grep sudoers
akshayk07

34

レポートはメールでrootユーザーに送信されます。多くのLinuxディストリビューションは、インストールプロセス中に作成された最初のアカウントにメールを送信するユーザーのエイリアスを自動的に設定します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.