Onde os incidentes do sudo são registrados?

29

Quando alguém não está no grupo sudoers e tenta usar o sudo, receba uma mensagem de erro como esta:

yzT is not in the sudoers file. This incident will be reported.

Estou tentando descobrir em qual log essas informações estão registradas, para verificar quem tentou executar um comando com o sudo, por exemplo, mas não consegue encontrá-lo.

A primeira pesquisa do Google diz, /var/log/syslogmas não vejo nenhuma informação relacionada ao sudo lá.

eez0
fonte
20
É registrado remotamente: xkcd.com/838
depquid 31/03
11
Últimas notícias ...
nikolas

Respostas:

41

Nos sistemas Linux baseados em redhat, como centos ou fedora, está em:

  /var/log/secure

e para sistemas baseados em debian como o ubuntu está em:

  /var/log/auth.log
Hojat Taheri
fonte
11
Mas como posso saber sozinho sem pesquisar no Google?
Turkhan Badalov
11
Fácil! Leia o código fonte.
LadyCailin
cat /var/log/auth.log | grep '3 tentativas incorretas de senha'
dedunumax 8/01
3

Não importa, é dentro /var/log/auth.log.

eez0
fonte
Os avisos também devem ser enviados por email para o root por padrão, embora isso seja configurável.
depquid 31/03
3

no Fedora está em /var/log/audit/audit.log

Shahram Pezeshki
fonte
11
ele depende para o arquivo / etc / sudoers, você deve procurar este registro: Padrão logfile = / var / log / file_name
Shahram Pezeshki