O que significa o erro “X não está no arquivo sudoers. Este incidente será relatado. ”Significa filosoficamente / logicamente?

Além disso, a pergunta " Nome de usuário não está no arquivo sudoers. Este incidente será relatado ", que explicou os aspectos programáticos do erro e sugeriu algumas soluções alternativas, quero saber: o que esse erro significa?

X is not in the sudoers file.  This incident will be reported.

A parte anterior do erro explica, claramente, o erro. Mas a segunda parte diz que "Este erro será relatado" ?! Mas por que? Por que o erro será relatado e onde? A quem? Sou usuário e administrador e não recebi nenhum relatório :)!

É provável que os administradores de um sistema desejem saber quando um usuário não privilegiado tenta, mas falha ao executar comandos usando sudo. Se isso acontecer, pode ser um sinal de

1. um usuário legítimo curioso apenas tentando as coisas, ou
2. um hacker tentando fazer "coisas ruins".

Como, sudopor si só, não é possível distinguir entre eles, tentativas fracassadas de uso sudosão trazidas à atenção dos administradores.

Dependendo de como sudoestá configurado no seu sistema, qualquer tentativa (bem-sucedida ou não) de usar sudoserá registrada. Tentativas bem-sucedidas são registradas para fins de auditoria (para poder rastrear quem fez o que quando) e falhas nas tentativas de segurança.

Em uma instalação bastante simples do Ubuntu que eu tenho, isso está conectado /var/log/auth.log.

Se um usuário digitar a senha errada três vezes ou se não estiver no sudoersarquivo, um email será enviado para o root (dependendo da configuração de sudo, veja abaixo). É isso que significa "este incidente será relatado".

O email terá um assunto de destaque:

Subject: *** SECURITY information for thehostname ***

O corpo da mensagem contém as linhas relevantes do arquivo de log, por exemplo

thehostname : Jun 22 07:07:44 : nobody : user NOT in sudoers ; TTY=console ; PWD=/some/path ; USER=root ; COMMAND=/bin/ls

(Aqui, o usuário nobodytentou correr lsatravés sudocomo root, mas não conseguiu, uma vez que não estavam no sudoersarquivo).

Nenhum email será enviado se o email (local) não tiver sido configurado no sistema.

Todas essas coisas também são configuráveis ​​e as variações locais na configuração padrão podem diferir entre as variantes do Unix.

Dê uma olhada na mail_no_userconfiguração (e mail_*configurações relacionadas ) no sudoersmanual (minha ênfase abaixo):

mail_no_user

Se definido, o email será enviado ao usuário mailto se o usuário que está chamando não estiver no sudoersarquivo. Esse sinalizador está ativado por padrão .

No Debian e seus derivados, os sudorelatórios de incidentes são registrados e /var/log/auth.logcontêm informações de autorização do sistema, incluindo logins de usuários e mecanismos de autenticação que foram usados:

$ sudo su
[sudo] password for regularjohn: 
regularjohn is not in the sudoers file.  This incident will be reported.

[as root]

$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su

Esse arquivo de log normalmente é acessível apenas aos usuários do admgrupo, ou seja, usuários com acesso às tarefas de monitoramento do sistema :

$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log

No Debian Wiki :

A admissão de grupo é usada para tarefas de monitoramento do sistema. Os membros deste grupo podem ler muitos arquivos de log em / var / log e podem usar o xconsole. Historicamente, / var / log era / usr / adm (e mais tarde / var / adm), portanto, o nome do grupo.

Os usuários do admgrupo geralmente são administradores e essa permissão do grupo visa permitir que eles leiam arquivos de log sem a necessidade su.

Por padrão, sudousa o authrecurso Syslog para log . sudocomportamento de log 's pode ser modificada usando a logfileou syslogopções em /etc/sudoersou /etc/sudoers.d:

• A logfileopção define o caminho para o sudoarquivo de log.
• A syslogopção define o recurso Syslog quando syslog(3)está sendo usado para o log.

O authrecurso Syslog é redirecionado para /var/log/auth.logdentro etc/syslog.confpela presença da seguinte sub-rotina de configuração:

auth,authpriv.*         /var/log/auth.log

Tecnicamente, isso não significa muito. Muitos (se não todos) outros softwares registram logins, com falha ou não. Por exemplo sshde su:

Jun 21 17:52:22 somehost sshd[25807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1  user=root
Jun 21 17:52:22 somehost sshd[25807]: Failed password for root from ::1 port 37268 ssh2
Jun 21 17:52:23 somehost sshd[25807]: Connection closed by ::1 port 37268 [preauth]
Jun 21 17:52:28 somehost su[25809]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/15 ruser=someuser rhost=  user=root
Jun 21 17:52:28 somehost su[25809]: pam_authenticate: Authentication failure
Jun 21 17:52:28 somehost su[25809]: FAILED su for root by someuser

Além disso, muitos sistemas possuem algum tipo de automação para detectar erros de autenticação excessivos para poder lidar com possíveis tentativas de força bruta, ou apenas usar as informações para reconstruir eventos após o aparecimento de problemas.

sudonão faz nada de excepcional aqui. Tudo o que a mensagem significa é que o autor de sudoparece ter adotado uma filosofia um tanto agressiva na comunicação com os usuários que executam comandos que não podem usar.

Significa simplesmente que alguém tentou usar o sudocomando (para acessar privilégios de administrador), que não tem autorização para usá-lo (porque não está listado no arquivo sudoers). Isso pode ser uma tentativa de hacking ou algum outro tipo de risco à segurança; portanto, a mensagem está informando que a tentativa de uso sudoserá relatada ao administrador do sistema, para que eles possam investigar.