错误消息“ X不在sudoers文件中。这起事件将得到报告。”从哲学/逻辑上讲？

除了问题“ 用户名不在sudoers文件中。将报告此事件 ”，该问题解释了错误的程序方面，并建议了一些解决方法，我想知道：此错误是什么意思？

X is not in the sudoers file.  This incident will be reported.

错误的前一部分清楚地解释了错误。但是第二部分说“将报告此错误”？！但为什么？为什么会报告错误，在哪里？给谁？我既是用户又是管理员，没有收到任何报告:)！

系统管理员可能想知道非特权用户何时尝试使用，但无法执行命令sudo。如果发生这种情况，可能表明

1. 一个好奇的合法用户，只是想尝试一下，或者
2. 试图做“坏事”的黑客。

由于sudo其本身不能区分这些，因此失败的使用尝试sudo引起了管理员的注意。

根据系统上sudo的配置方式，sudo将记录使用的任何尝试（成功与否）。记录成功尝试以进行审核（以便能够跟踪谁在何时进行了操作），以及失败的安全尝试。

在我拥有的相当不错的Ubuntu安装程序中，这已登录/var/log/auth.log。

如果用户输入了三遍错误的密码，或者密码不在sudoers文件中，则会向root用户发送一封电子邮件（取决于的配置sudo，请参见下文）。这就是“将报告此事件”的意思。

电子邮件将有一个突出的主题：

Subject: *** SECURITY information for thehostname ***

消息的正文包含日志文件中的相关行，例如

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

（这里，用户nobody试图运行ls通过sudo以root身份，但由于它们中没有失败的sudoers文件）。

如果尚未在系统上设置（本地）邮件，则不会发送电子邮件。

所有这些内容也是可配置的，并且默认配置中的本地变体在Unix变体之间可能有所不同。

看看手册中的mail_no_user设置（和相关mail_*设置）sudoers（以下是我的重点）：

mail_no_user

如果设置，则如果调用用户不在文件中，则邮件将发送给mailto用户sudoers。 默认情况下，此标志是打开的。

在Debian及其衍生版本中，sudo事件报告被记录到/var/log/auth.log其中，其中包含系统授权信息，包括使用的用户登录名和身份验证机制：

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

该日志文件通常仅对adm组中的用户（即有权访问系统监视任务的用户）访问：

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

从Debian Wiki：

组adm用于系统监视任务。该组的成员可以读取/ var / log中的许多日志文件，并且可以使用xconsole。从历史上看，/ var / log是/ usr / adm（后来是/ var / adm），因此是组的名称。

该adm组中的用户通常是管理员，该组权限旨在使他们无需读取日志文件即可su。

默认情况下，sudo使用Syslog auth工具进行日志记录。sudo的记录行为可以使用被修饰logfile或syslog在选项/etc/sudoers或/etc/sudoers.d：

• 该logfile选项设置sudo日志文件的路径。
• syslog当syslog(3)用于记录日志时，该选项设置Syslog工具。

系统日志auth设施被重定向到/var/log/auth.log在etc/syslog.conf由下列配置节的存在：

auth,authpriv.*         /var/log/auth.log

从技术上讲，这没有什么意义。许多（如果不是全部）其他软件都会记录登录失败，失败或其他情况。例如sshd和su：

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

同样，许多系统具有某种自动化功能，用于检测过多的身份验证错误，从而能够应对可能的暴力破解尝试，或者仅在出现问题后使用该信息来重构事件。

sudo在这里并没有做任何特别的事情。所有消息意味着，作者的作者sudo似乎在与恰巧运行他们无法使用的命令的用户进行通信时采取了某种激进的哲学。

这仅表示有人尝试使用该sudo命令（以访问管理员权限），而该人无权使用该命令（因为它们未在sudoers文件中列出）。这可能是黑客尝试或某种其他形式的安全风险，因此该消息表明，尝试使用的信息sudo将报告给系统管理员，以便他们进行调查。