क्या त्रुटि "एक्स sudoers फ़ाइल में नहीं है। इस घटना की सूचना दी जाएगी। ”दार्शनिक / तार्किक रूप से मतलब है?

इस सवाल के साथ " उपयोगकर्ता नाम sudoers फ़ाइल में नहीं है। इस घटना को रिपोर्ट किया जाएगा " जिसने त्रुटि के कार्यक्रमगत पहलुओं को समझाया और कुछ वर्कअराउंड का सुझाव दिया, मैं जानना चाहता हूं: इस त्रुटि का क्या मतलब है?

X is not in the sudoers file.  This incident will be reported.

त्रुटि का पूर्व भाग स्पष्ट रूप से, त्रुटि बताता है। लेकिन दूसरा भाग कहता है कि "इस त्रुटि की सूचना दी जाएगी" ?! पर क्यों? त्रुटि की सूचना क्यों और कहाँ दी जाएगी? किसको? मैं उपयोगकर्ता और व्यवस्थापक दोनों हूँ और मुझे कोई रिपोर्ट नहीं मिली :)!

किसी सिस्टम का प्रशासक यह जानना चाहता है कि कोई गैर-विशेषाधिकार प्राप्त उपयोगकर्ता कब कोशिश करता है, लेकिन कमांड का उपयोग करने में विफल रहता है sudo। यदि ऐसा होता है, तो यह एक संकेत हो सकता है

1. एक जिज्ञासु वैध उपयोगकर्ता बस चीजों की कोशिश कर रहा है, या
2. एक हैकर "बुरे काम" करने की कोशिश कर रहा है।

चूँकि sudoस्वयं इनके बीच अंतर नहीं कर सकते हैं, उपयोग करने के असफल प्रयास को sudoप्रवेशकों के ध्यान में लाया जाता है।

sudoआपके सिस्टम पर कैसे कॉन्फ़िगर किया गया है, इसके आधार पर उपयोग करने का कोई भी प्रयास (सफल या सफल) sudoलॉग नहीं किया जाएगा। ऑडिट उद्देश्यों के लिए सफल प्रयास लॉग किए जाते हैं (जो कब क्या किया, इस पर नज़र रखने में सक्षम होने के लिए), और सुरक्षा के लिए असफल प्रयास।

मेरे पास एक काफी वैनिला उबंटू सेटअप है, यह लॉग इन है /var/log/auth.log।

यदि कोई उपयोगकर्ता तीन बार गलत पासवर्ड देता है, या यदि वे sudoersफ़ाइल में नहीं हैं , तो एक ईमेल रूट पर भेजा जाता है (कॉन्फ़िगरेशन के आधार पर sudo, नीचे देखें)। यह "इस घटना की सूचना दी जाएगी" से है।

ईमेल में एक प्रमुख विषय होगा:

Subject: *** SECURITY information for thehostname ***

संदेश के मुख्य भाग में लॉगफ़ाइल से संबंधित लाइनें हैं, उदाहरण के लिए

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(यहाँ, उपयोगकर्ता nobodyभागने की कोशिश की lsके माध्यम से sudoरूट के रूप में, लेकिन असफल क्योंकि वे में नहीं थे sudoersफ़ाइल)।

यदि (स्थानीय) मेल सिस्टम पर सेट नहीं किया गया है तो कोई ईमेल नहीं भेजा जाता है।

ये सभी चीजें कॉन्फ़िगर करने योग्य हैं, और डिफ़ॉल्ट कॉन्फ़िगरेशन में स्थानीय विविधताएँ यूनिक्स वेरिएंट के बीच भिन्न हो सकती हैं।

मैनुअल में mail_no_userसेटिंग (और संबंधित mail_*सेटिंग्स) पर एक नज़र डालें ( sudoersनीचे मेरा जोर):

mail_no_user

यदि सेट किया जाता है, तो मेल उपयोगकर्ता को मेल भेजा जाएगा यदि चालान उपयोगकर्ता sudoersफ़ाइल में नहीं है । यह ध्वज डिफ़ॉल्ट रूप से चालू है ।

डेबियन और उसके डेरिवेटिव में, sudoघटना की रिपोर्ट को लॉग किया जाता है /var/log/auth.logजिसमें सिस्टम ऑथराइजेशन जानकारी होती है, जिसमें उपयोगकर्ता लॉगिन और प्रमाणीकरण तंत्र शामिल होते हैं:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

यह लॉग फ़ाइल आम तौर पर admसमूह के उपयोगकर्ताओं के लिए ही सुलभ होती है , यानी सिस्टम मॉनिटरिंग कार्यों के लिए उपयोग करने वाले उपयोगकर्ता :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

से डेबियन विकी :

ग्रुप मॉनिटरिंग का उपयोग सिस्टम मॉनिटरिंग कार्यों के लिए किया जाता है। इस समूह के सदस्य / लॉग / लॉग में कई लॉग फाइल पढ़ सकते हैं, और xconsole का उपयोग कर सकते हैं। ऐतिहासिक रूप से, / var / log था / usr / प्रशंसा (और बाद में / var / प्रशंसा), इस प्रकार समूह का नाम।

admसमूह में उपयोगकर्ता आमतौर पर प्रशासक होते हैं , और इस समूह की अनुमति उन्हें बिना लॉग इन फ़ाइलों को पढ़ने की अनुमति देने के लिए होती है su।

डिफ़ॉल्ट रूप से लॉगिंग के लिए sudoSyslog authसुविधा का उपयोग करता है । sudoकी लॉगिंग व्यवहार का उपयोग कर संशोधित किया जा सकता logfileहै या syslogमें विकल्प /etc/sudoersया /etc/sudoers.d:

• logfileविकल्प के लिए पथ सेट sudoलॉग फ़ाइल।
• syslogविकल्प Syslog सुविधा जब सेट syslog(3)प्रवेश के लिए इस्तेमाल किया जा रहा है।

Syslog authसुविधा को निम्नलिखित कॉन्फ़िगरेशन श्लोक की उपस्थिति से पुनर्निर्देशित किया /var/log/auth.logगया etc/syslog.confहै:

auth,authpriv.*         /var/log/auth.log

तकनीकी रूप से, इसका कोई मतलब नहीं है। कई (यदि सभी नहीं) अन्य सॉफ़्टवेयर लॉग लॉग, विफल या अन्यथा। उदाहरण के लिए sshdऔर su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

इसके अलावा, कई प्रणालियों में संभावित प्रमाणीकरण-बल प्रयासों से निपटने में सक्षम होने के लिए अत्यधिक प्रमाणीकरण त्रुटियों का पता लगाने के लिए कुछ प्रकार के स्वचालन हैं, या समस्याओं के प्रकट होने के बाद घटनाओं को फिर से संगठित करने के लिए जानकारी का उपयोग करें।

sudoयहाँ विशेष रूप से असाधारण कुछ भी नहीं करता है। सभी संदेश का मतलब यह है कि sudoप्रतीत होता है कि लेखक उन उपयोगकर्ताओं के साथ संवाद करने में कुछ आक्रामक दर्शन लेता है जो कमांड चलाने के लिए होते हैं जिनका वे उपयोग नहीं कर सकते हैं।

इसका सीधा सा मतलब है कि किसी ने sudoकमांड का उपयोग करने की कोशिश की (व्यवस्थापक विशेषाधिकारों का उपयोग करने के लिए), जिनके पास इसका उपयोग करने के लिए प्राधिकरण नहीं है (क्योंकि वे sudoers फ़ाइल में सूचीबद्ध नहीं हैं)। यह हैकिंग का प्रयास या किसी अन्य प्रकार का सुरक्षा जोखिम हो सकता है, इसलिए संदेश कह रहा है कि sudoसिस्टम प्रशासक को इच्छा के उपयोग की सूचना दी जाएगी, इसलिए वे जांच कर सकते हैं।