sudo 事件在哪里报告？ [关闭]

Posted 2023-02-24

【中文标题】sudo 事件在哪里报告？ [关闭]

【英文标题】：Where are sudo incidents reported? [closed]

【发布时间】：2012-11-12 20:56:06

【问题描述】：

在我的机器上尝试一些不正当的东西会导致

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

此事件在哪里报告，如何获取所有恶意尝试命令的日志？

【参考方案1】：

没关系，我刚刚在 xkcd 的替代文本中找到了答案：

将root替换为您的用户名，在我的例子中为ryan，因此可以找到日志：

cat /var/spool/mail/ryan

【讨论】：

不应该是root，除非有一些转发设置？重点应该是将电子邮件发送给管理员。此外，当然，一旦设置了一些转发，您可以 cat 假脱机文件，但您也可以使用一些邮件客户端，如邮件、钉子或其他支持从本地假脱机读取的东西（我会说这通常是除了可能从 Windows 世界“导入”的 GUI 客户端）。

在使用 systemd 的发行版中/var/spool/mail 中没有任何内容（在我的例子中是 Archlinux）。在这种情况下，您可以使用journalctl 命令在日志中找到该报告。 （@shellter - 由于主题封闭 - 不同意 - 我不得不发表评论，而不是另一个有效答案）

@dmnc 我可以确认一下，journalctl 的命令是sudo journalctl /bin/sudo。

我知道这被标记为“debian”，但我来寻找 Ubuntu。所以为了其他人寻找 Ubuntu 的输出日志，我发现 sudo 失败：/var/log/auth.log

@CJBS 在 WSL 下的 Ubuntu 中，我必须运行 sudo service rsyslog start 才能启动日志服务。

【参考方案2】：

报告以电子邮件的形式发送给root 用户。许多 Linux 发行版会自动为该用户设置一个别名，将邮件定向到在安装过程中创建的第一个帐户。