系统管理员可能想知道非特权用户何时尝试使用,但无法执行命令sudo
。如果发生这种情况,可能表明
- 一个好奇的合法用户,只是想尝试一下,或者
- 试图做“坏事”的黑客。
由于sudo
其本身不能区分这些,因此失败的使用尝试sudo
引起了管理员的注意。
根据系统上sudo
的配置方式,sudo
将记录使用的任何尝试(成功与否)。记录成功尝试以进行审核(以便能够跟踪谁在何时进行了操作),以及失败的安全尝试。
在我拥有的相当不错的Ubuntu安装程序中,这已登录/var/log/auth.log
。
如果用户输入了三遍错误的密码,或者密码不在sudoers
文件中,则会向root用户发送一封电子邮件(取决于的配置sudo
,请参见下文)。这就是“将报告此事件”的意思。
电子邮件将有一个突出的主题:
Subject: *** SECURITY information for thehostname ***
消息的正文包含日志文件中的相关行,例如
thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls
(这里,用户nobody
试图运行ls
通过sudo
以root身份,但由于它们中没有失败的sudoers
文件)。
如果尚未在系统上设置(本地)邮件,则不会发送电子邮件。
所有这些内容也是可配置的,并且默认配置中的本地变体在Unix变体之间可能有所不同。
看看手册中的mail_no_user
设置(和相关mail_*
设置)sudoers
(以下是我的重点):
mail_no_user
如果设置,则如果调用用户不在文件中,则邮件将发送给mailto用户sudoers
。 默认情况下,此标志是打开的。